- クリップボードハイジャッカーとは、感染端末のクリップボードを監視し、コピーされた暗号資産のウォレットアドレスを攻撃者のアドレスにすり替えるマルウェアのことだ。
- 長い英数字のウォレットアドレスは目視確認しづらいため、送金時に貼り付けたアドレスが書き換わっていることに気づかず、正しく送ったつもりが攻撃者のウォレットへ資産を送ってしまう。
- 仕組みを知っておけば、送金前にコピー元と貼り付け先のアドレスを必ず照合する習慣が身につき、目に見えない書き換えに対抗できる。
【深掘り】これだけは知っておけ
クリップボードハイジャッカー(Clipboard Hijacker、Clipperとも呼ばれる)は、感染端末のクリップボードに保存されたデータを監視し、暗号資産のウォレットアドレスやIBAN(国際銀行口座番号)などを検出すると、攻撃者が用意したアドレスにすり替えるマルウェアです。2018年7月に最初に検出された「Clipboard Hijacker Malware」は約230万件ものビットコインアドレスを監視リストに持っていたとされており、その後Android向けの「Android/Clipper.C」が偽MetaMaskアプリとしてGoogle Playに登録されていた事例も2019年2月にESETが発見しました。
感染経路はメール添付ファイル、不正な広告、海賊版ソフト、偽アプリのダウンロードなどです。一度インストールされるとバックグラウンドで動作し、CPU負荷も少ないため、感染に気づくことは極めて困難です。攻撃者は仮想通貨のメインアドレス形式(0xから始まるEthereum、bc1q/3/1から始まるBitcoinなど)をパターンマッチで識別し、自分のウォレットへとリアルタイムで書き換えます。被害者は「自分のアドレスをコピー&ペーストしただけ」と思っているため、送金完了後に取引所のトランザクション履歴で見知らぬアドレスへの送金に気づき、初めて被害を認識します。
環境面の対策として、信頼性の高いセキュリティソフトを稼働させ、定期的にスキャンを実行してください。海賊版ソフト・クラックゲーム・出所不明のアプリのインストールは避けることが基本です。資産が大きい場合はハードウェアウォレットを使い、送金時にデバイスの物理画面でアドレスを必ず確認してください。ハードウェアウォレットの確認画面はクリップボード経由ではないため、すり替えの影響を受けません。少額の試行送金を行ってから本送金するという習慣も、被害を最小化する有効な手段です。
クリップボードハイジャッカーの主な感染経路
| 感染経路 | 仕組み | 対策 |
|---|---|---|
| メール添付ファイル | マクロ付き文書やexeファイル | 不審な添付は開かない |
| 偽アプリ | Google PlayやWebからの偽ウォレット | 公式サイト経由でのダウンロード |
| 海賊版・クラックソフト | 同梱されたマルウェア | 正規ソフトのみ使用 |
典型的なフレーズ・文脈
(マルウェア内部処理)クリップボード監視中:0x71C7…のEthereumアドレスを検出。攻撃者ウォレット0xA4B8…に瞬時に書き換え完了。被害者は気づかず貼り付け実行。送金完了。
クリップボードハイジャッカーが感染端末で動作する典型的な様子です。コピー操作の直後にアドレスが書き換わるため、ユーザーは正しくコピー&ペーストしているつもりで攻撃者に送金してしまいます。
セキュリティ研究機関は、2018年に発見されたクリップボードハイジャッカーが約230万件の暗号資産アドレスを監視していた事例を挙げ、送金前にアドレスの最初と最後の数文字を必ず照合するよう呼びかけています。
クリップボードハイジャッカーの規模を報じる報道番組のキャスターを想定した表現です。
送金前にコピー元と貼り付け先のアドレスを文字単位で照合してください。少額の試行送金も有効。ハードウェアウォレットの物理画面確認が最も確実です。被害は#9110へ。
セキュリティ専門家が、クリップボードハイジャッカーへの具体的な防御行動を助言する場面を想定しています。
困ったときの相談窓口
クリップボードハイジャッカーの感染や被害が疑われる場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | マルウェア感染・サイバー犯罪の相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 詐欺被害の届け出 |
| 金融庁 詐欺的な投資に関する相談ダイヤル | 0570-050588 | 平日 10:00〜17:00(Webは24時間) | 暗号資産投資の相談 |
【まとめ】3つのポイント
- 正体はアドレスをすり替えるマルウェア:クリップボードを監視してアドレスを攻撃者のものに書き換えます。
- 気づきにくい潜伏型攻撃:本人は正しくコピー&ペーストしたつもりで送金してしまい、被害が完了するまで気づきません。
- アドレス照合と試行送金で防御:送金前に貼り付け先と元のアドレスを文字単位で照合し、ハードウェアウォレットの物理確認画面も活用しましょう。
よくある質問
-
Qスマートフォンも感染しますか?
-
A
はい。2019年にESETがGoogle Play上で発見したAndroid/Clipper.Cは、偽のMetaMaskアプリを装ってクリップボードハイジャッカー機能を持っていました。スマートフォンでもパソコンと同様に、出所不明のアプリのインストールを避け、公式ストアで公式の開発者名を確認することが重要です。iPhoneは比較的安全とされますが、ジェイルブレイク済み端末や、不正な構成プロファイルがインストールされている場合はリスクがあります。
-
Q感染しているかどうか確認できますか?
-
A
テストは可能です。テキストエディタを開き、ウォレットアドレスをコピーした直後に貼り付け、文字が一致しているか確認します。これを複数回繰り返してアドレスが変わる事例がないか調べてください。ただし攻撃者は特定の条件下でのみ書き換えるよう設計することがあり、テストでは検出できないケースもあります。確実な方法はESETやMalwarebytesなどの信頼できるセキュリティソフトでスキャンすることです。
-
Qアドレスが書き換わって送金してしまいました。資金は戻りますか?
-
A
ほぼ不可能です。ブロックチェーン上の送金は不可逆で、攻撃者のアドレスに送られた資金は速やかに別アドレスへ移されます。被害発覚直後にトランザクションIDを確認し、送金先アドレスを取引所と警察に報告してください。同じアドレスへの送金が複数発生していれば、取引所側でアドレス凍結の対応が取られることがあります。マルウェア除去とウォレットの新規作成・資産退避を必ず実施してください。
-
Qクリップボードハイジャッカーとキーロガーの違いは何ですか?
-
A
監視する対象が違います。キーロガーはキーボード入力を記録し、パスワード・クレジットカード番号・メッセージなどを盗み出すマルウェアです。クリップボードハイジャッカーはクリップボードの内容を監視し、暗号資産アドレスやIBANをすり替えます。前者は情報窃取型、後者は能動的なアドレスすり替え型という違いがあります。両方の機能を持つ複合型マルウェアも存在します。
コメント