- メタマスク詐欺とは、人気の暗号資産ウォレット「MetaMask」を装った偽メール・偽サイト・偽サポートで、シードフレーズや承認署名を奪ってウォレット内の資産を盗む詐欺の総称だ。
- 「2FAでウォレットを保護」「アカウントが凍結されました」と緊急性を煽り、本物そっくりの偽ドメインに誘導してリカバリーフレーズを入力させ、入力した瞬間にウォレットの全資産を犯人のアドレスへ送金してしまう。
- 仕組みを知っておけば、「MetaMaskは絶対にシードフレーズを要求しない」という鉄則を持てて、巧妙な偽サポートに惑わされずに済む。
【深掘り】これだけは知っておけ
MetaMask(メタマスク)はEthereumなどで広く使われる分散型ウォレットで、その人気を悪用した詐欺が多発しています。主な手口は複数あります。一つ目は偽メール・偽サイトによるフィッシングで、「アカウントが凍結されました」「本人確認(KYC)が必要です」「セキュリティアップデートが必要」と緊急性を煽り、本物そっくりの偽サイトでシードフレーズを入力させます。2026年1月にはブロックチェーンセキュリティ企業SlowMistが、「MetaMask Support」を名乗り「Action Required: Secure Your Wallet with 2FA」という件名で偽の2段階認証フローに誘導する詐欺を警告しました。偽ドメイン「mertamask.co」のような正規と紛らわしいURLが使われています。
他の手口として、検索広告や偽ドメインによる偽サイト誘導、偽の拡張機能・偽アプリによる資産窃取、偽カスタマーサポートによる追加送金要求、NFTやエアドロップを装ったウォレット接続詐欺、アドレスポイズニング(Zero Transfer詐欺)があります。アドレスポイズニングは、2023年にMetaMask公式が注意喚起した手口で、正常な取引の後に0円のトークン送金を行って取引履歴を汚染し、被害者が次回その似たアドレスにコピー&ペーストで誤送金するのを狙います。決定的な点は、シードフレーズはウォレットのマスターキーであり、これが漏れると元の所有者に知られず資金を送金され、別デバイスでウォレットを復元され、すべての秘密鍵を支配されることです。
具体的な対策として、MetaMask関連のメールが来たら差出人アドレスを必ず確認すること。リンクは踏まず、公式サイト(metamask.io)をブックマークから開くこと。シードフレーズの入力を求められたらどんな状況でも100%詐欺と判断すること。拡張機能・アプリは必ず公式サイト経由でインストールすること。アドレスポイズニング対策として、送金時はアドレスを全桁照合し、取引履歴からのコピー&ペーストは避けること。これらを徹底すれば、メタマスク詐欺の大半は防げます。
メタマスク詐欺の主な手口
| 手口 | 仕組み | 対策 |
|---|---|---|
| 偽メール・偽2FA誘導 | 緊急性を煽り偽サイトでフレーズ入力させる | 差出人@metamask.io以外は偽物 |
| 偽拡張機能・偽アプリ | 正規を装った偽ソフトで資産窃取 | 公式サイト経由でインストール |
| アドレスポイズニング | 0円送金で履歴を汚染し誤送金を狙う | 送金時のアドレス全桁照合 |
典型的なフレーズ・文脈
【MetaMask Support】対応必須:2FAでウォレットを保護してください。セキュリティ侵害が検知されました。残り時間15:00以内に下記リンクから認証を完了しないとアカウントが凍結されます。リカバリーフレーズを入力して本人確認を。
偽の2段階認証フローとカウントダウンタイマーで焦らせ、リカバリーフレーズを入力させるメタマスク詐欺の典型的な手口です。本物のMetaMaskはフレーズを要求しません。
ブロックチェーンセキュリティ企業は、MetaMaskを装い偽の2段階認証を使ってシードフレーズを盗む精巧なフィッシング詐欺が横行しているとして、正規と紛らわしい偽ドメインに注意するよう警告しています。
SlowMistなどによるメタマスク詐欺の警告を報じる報道番組のキャスターを想定した表現です。
MetaMaskが本人確認でシードフレーズを聞くことは絶対にありません。聞かれたら詐欺です。メールの差出人が@metamask.io以外なら偽物。公式サイトはブックマークから開いてください。被害は#9110へ。
暗号資産トラブルに詳しい弁護士が、メタマスク詐欺への基本的な防御行動を助言する場面を想定しています。
困ったときの相談窓口
メタマスク詐欺で資産が流出した場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 詐欺被害・不正アクセスの相談 |
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | フィッシング・マルウェアの相談 |
| 金融サービス利用者相談室 | 0570-016811 | 平日 10:00〜17:00 | 暗号資産トラブルの相談 |
【まとめ】3つのポイント
- 正体は人気ウォレットを装う複合詐欺:偽メール・偽サイト・偽サポート・アドレスポイズニングなど多様な手口があります。
- 緊急性とカウントダウンで焦らせる:「凍結」「2FA保護」と煽り、冷静な判断を奪ってフレーズを入力させます。
- MetaMaskは絶対にシードフレーズを要求しない:聞かれたら詐欺確定。差出人が@metamask.io以外なら偽物です。
よくある質問
-
QMetaMaskから「アカウント凍結」のメールが来ました。本物ですか?
-
A
ほぼ確実に詐欺です。MetaMaskは分散型ウォレットで、運営があなたのアカウントを「凍結」する仕組み自体が存在しません。差出人のメールアドレスを確認し、@metamask.io で終わっていなければ偽物です。メール内のリンクは絶対にクリックせず、削除してください。不安な場合は公式サイト(metamask.io)をブックマークから開いて、公式の情報を確認しましょう。
-
Qアドレスポイズニングとは何ですか?どう防げばいいですか?
-
A
アドレスポイズニングは、攻撃者があなたのウォレットに0円のトークンを送り、取引履歴に自分のアドレス(あなたがよく使うアドレスと先頭・末尾が似たもの)を紛れ込ませる手口です。次に送金するとき、履歴からコピー&ペーストすると誤って攻撃者のアドレスに送ってしまいます。防ぐには、送金時にアドレスを全桁照合すること、取引履歴からのコピーを避けてアドレス帳に登録した正規アドレスを使うことが有効です。
-
Q偽のMetaMask拡張機能を見分ける方法はありますか?
-
A
必ず公式サイト(metamask.io)からブラウザストアへのリンクをたどってインストールしてください。検索結果や広告から直接インストールすると、偽の拡張機能をつかまされる危険があります。インストール済みの拡張機能も、開発者名・レビュー数・公式サイトとの一致を確認しましょう。少しでも不審な点があれば一度削除し、公式サイト経由で入れ直すことをお勧めします。シードフレーズを再入力する際も、本物の拡張機能か再確認してください。
-
Qメタマスク詐欺とフェイクウォレットの違いは何ですか?
-
A
範囲が異なります。メタマスク詐欺はMetaMaskという特定のウォレットを標的にした詐欺の総称で、偽メール・偽サイト・偽サポート・アドレスポイズニングなど多様な手口を含みます。フェイクウォレットはその中の一手口で、MetaMaskなどを装った偽アプリそのものを指します。メタマスク詐欺が大きなカテゴリで、フェイクウォレットはその一部だと理解してください。どちらもシードフレーズを守ることが共通の防御です。
コメント