【注意喚起】DX最前線|NFT盗難の現状と対策【Web3.0体験談】

【注意喚起】DX最前線|NFT盗難の現状と対策【Web3.0体験談】

数年前から、世界では当たり前のように活用されているNFT。近年、日本でもようやくその存在が知られるようになってきました。

しかし、NFT後進国である日本では、NFTはまだまだ投機対象の1つとして、NFTアートが注目を集めているだけに過ぎません。

NFTに関する理解やリテラシーは広まっておらず、法規制も十分とは言い難い状況です。

これまでも様々な先進テクノロジーが広まる過程では、利用者のリテラシー不足や法規制の穴を突いた、詐欺や盗難の被害が多発してきました。

NFTもその例外ではなく、利用者の増加に伴って、セキュリティの穴をついた詐欺や盗難被害が報告されており、大きな問題となります。

そこで今回は、実際にNFT盗難にあったK氏にインタビューを行い、NFT盗難にあった経緯と、そこから学んだ教訓についてまとめました。

実際の被害事例を通じて、先端テクノロジーを利用する際の心構えや、NFT盗難の現状と対策について整理する機会にしてください。。

NFT盗難被害の経緯

NFT盗難被害の経緯

まず始めに、K氏が盗難被害にあったNFTは、どのようなものだったのでしょうか?

「私が盗まれたNFTは、2022年6月2日に購入した大人気コレクションCNP(Crypto Ninja Partners)のキャラクター1体でした。

CNPは、NFT界では誰もが知っているほど、有名で突出した影響力を持つインフルエンサー・I氏がプロデューサーを務める大人気NFTコレクションです。被害にあった当時でも、売却すれば5~6万円相当の価値をつけていました。

その後も、価格が上がることは確実と予想されていただけに、私としても大きな痛手でした。」

NFTが、盗まれたことに気づいたのはいつでしょうか?

「実際に私が盗難に気づいたのは、7月17日のことでした。OpenSea(NFT大手売買プラットフォーム)のアカウントを開いてみたところ、私が所有するNFTが、知らないうちに見ず知らずの他人に送られていることに気づいたんです。」

NFTが勝手に他人に送られていた

NFTが勝手に他人に送られていた
出典:OpenSeaアカウント画面/K氏のトランザクション履歴

「知らない間に他人に送られていた」ということは、わかるものなのですか?

「はい。NFTとは、ブロックチェーン上で取引されるデジタル資産を、唯一無二であることを証拠付ける『Non-Fungible Token:非代替性トークン=代替不可能な認証』という技術ですので、誰が作り、誰から誰の手に渡ったのかという履歴は全て残るんです。

CNPはリリースから僅か2時間で2万体が完売したというほど人気のコレクションで、2ヶ月後には価格が約200倍にまで高騰しました。まだまだ値が上がる見込みがあったため、私は当面の間は売らずに保有しているつもりでした。

しかし、購入後しばらくして(7月17日)からOpenSeaのアカウントにアクセスしてみると、持っていたはずのCNPがどこにも見当たりません。

そこでトランザクション(取引)を確認してみると、私のアカウントから見知らぬ誰かのアカウントにトランスファー(NFTを別のウォレット(電子マネーや暗号資産などを保有しておく電子の財布)へ移送すること)していることが分かったんです。

要するに『誰かが私のアカウントをハッキングして操作し、NFTを盗んでいった』ということになります。

その後のNFTの動向を見てみると、ハッカーから別の誰かに売却され、その後も何度か売買を繰り返し、最終的にはおそらく一般の方と思われるアカウントに渡っていました。

肝心のハッカーと思われるアカウントは、既に削除されています。

ハッカーが自ら削除して痕跡を消し去り、まんまと暗号資産だけを手に入れることに成功したのです。

こうなってしまっては、私としてはもはやどうすることもできません。」

 

盗まれたNFTは二度と戻らない

盗まれたNFTは二度と戻らない

そういった場合、例えばOpenSeaへ申立をして、NFTを取り返すことはできないのでしょうか?

「OpenSeaに盗難の報告をすれば、そのNFTは盗品だと認定され、それ以上取引が行われないように凍結するという処理はできます。

しかし、それはあくまで盗品認定がされるだけであって、こちらの手元に戻ってくるわけではありません(編集部注:2022年8月11日に一部規定が改定され、OpenSeaは盗品NFTの対応に関する内容変更を行い、盗難被害報告後に警察への盗難届の提出が一定期間なければ、凍結解除を容易にすると発表した。)。

ちなみに、酷い時には盗難報告をしてもOpenが反応すらしない場合も多々あるそうです。この問題はニュースにもなり、物議を醸したこともあります。

つまり、現状では一度盗まれたNFTを取り返す方法はないのです。

私も、盗まれてしまったものは潔く諦めて、その苦い経験を今後の糧とし、二度と被害にあわぬようセキュリティ対策を万全にするしかありませんでした。」

原因はウォレットのハッキング

原因はウォレットのハッキング

そもそも、NFTを盗まれてしまった直接の原因が何だったのでしょうか?

「私のウォレットがハッキングされた原因は、おそらく知らないうちに詐欺サイトにアクセスし、自分のウォレットを接続してしまったことです。

少し話がそれますが、現在NFTアートの売買は、先ほども言ったように、NFT制作側が世界観やテイストを統一したキャラクター群を「コレクション」という箱にまとめて公開し、販売する形式を取っています。

同じコレクションを持つNFT保有者、つまりコレクターあるいはファン同士には連帯感が生まれるため、コミュニティが形成されます。

コレクションによっては、こうしたファン心理を掴むため、コミュニティを制作側が用意して、そのコレクションのNFT保有者しか享受できない特典を用意することが多くなってきました。

人気のコレクションの場合は、その希少性を買われて購入希望者が殺到します。購入者には有名人などがいる場合もあり、そうした人たちと交流できる稀有な場としてコミュニティはますます発展します。

そんな数あるNFTコミュニティの中で、日本でも最大級の規模を持っているのが、私が保有していたCNPの販売元が運営する『Ninja DAO』なのです。

Ninja DAOではDiscordでコミュニティを運営していたのですが、思い返してみると、DiscordでCNPのコミュニティに入ろうとした際に、CNP公式を謳うWebサイトが立ち上がったことがありました。

『NFTのギフトが当たったからウォレットを繋げてください!』と記載されていたのを覚えています。

私は、本当にキャンペーンか何かに当選したのかと喜んで、ついウォレットを接続してしまったんです。

しかし、実際はハッカーがCNP人気に乗じて詐欺サイトを作り、そのサイトが自動的に立ち上がるようプログラムを仕込んでいたと考えられます。

人気プロジェクトが詐欺に利用されるのは、もはや業界の常識と言えますので、これに関してはCNP運営側に落ち度はありません。」

*Discord:米国初のチャットサービス。当初はゲーマー向けのチャットサービスとして人気を集めていたが、テキストや音声チャットの他、高品質なビデオ通話も可能なため、近年はテレワーカーやファンコミュニティ運営などで重宝されるようになった。

ハッキングの現状

ハッキングの現状

そうしたハッキングというのは、日常的に起きているものなのですか?

「NFTを実際に触っていない方はピンと来ないと思いますが、NFTの盗難は一般の方が想像する以上に業界内で横行しています。

私の肌感ではありますが、10人に1人~2人は被害を経験しているのではないでしょうか。

実際、暗号資産(仮想通貨)関連の総合情報サイト「Crypto Times」によると、2020~2022年のNFT盗難被害総額は全世界で1200億円にも上ると言われています。

NFT盗難が多い理由としては、NFT取引自体がまだまだ未成熟な分野であり、セキュリティ対策も確立されていないのが主な要因です。

これからNFTに参入しようと考えている方は、この現実をよく踏まえた上で事前に対策をよく把握しておくべきでしょう。」

NFT盗難への対策

NFT盗難への対策

アカウントをハッキングされ、NFTを盗難(見知らぬ他人に横流し)されてしまったK氏ですが、同様の被害を防ぐためにはどのような対策があるのでしょうか?

そこで続いて、K氏の考える2つの対策について詳しく伺いました。

DMには要注意

DMには要注意

NFTが盗難されないように、コレクター側が取れる対策には、どのようなものがあるのでしょう?

「まず、私自身の経験を踏まえてお答えするのであれば、当たり前と思われるかもしれませんが『知らない人からのDMは全て無視する』ということに尽きるのではないでしょうか。

NFT詐欺のほとんどはDM(ダイレクトメッセージ)から発生すると言われています。DMで言い寄ってきてURLをクリックさせ、詐欺サイトへ誘導するのが王道の手口です。

Twitter、Instagram、あるいはDiscord。プラットフォームは様々ですが、NFTの盗難目的で近寄ってくるハッカーは後を絶ちません。知らないアカウントからのDMは、基本的に無視する方が得策です。

添付のURLをクリックしないのはもちろんですが、そもそもDMに応じなければ盗難のほとんどは未然に防げると言っても過言ではありません。

『そんな怪しいDMに応じるわけないし、私は大丈夫』と思われる方もいるでしょう。

しかし、ハッカーが言い寄ってくる手口は実に巧みです。

例えば、最も多い手口のひとつが『プレゼント当選の旨を伝えるDM』で、以下の様なメッセージを送ってきます。

『おめでとう!キャンペーンに当選したので以下URLにアクセスしてギフトのNFTを受け取ってくださいね!』

『NFT無料プレゼントキャンペーンを開催します!ついては下記のURLからエントリーして……』

ユーザーは、売ればお金になるNFTを無料で手に入れるチャンスに浮かれて、まんまと罠にかかる人が後を絶ちません。まぁ、私もその1人だったわけですが……。

と言うのも、現状のNFTは、特に日本ではまだまだ市場が狭いということもあって、オフィシャルなコレクション運営側でも、たびたびこうした『NFT無料プレゼント』のようなキャンペーンを打っているんです。

そうした現状もあり、本当のオフィシャルな告知なのか、詐欺の告知なのかが分かりづらくなっています。

そのようなサイトにアクセスしても、ウォレットを接続せずすぐに離脱すれば被害を未然に防げる可能性はあります(中にはサイトにアクセスするだけで手遅れになるケースもあると言われます)。

しかし、ウォレットを接続してしまったらもう手遅れです。あなたのアカウント情報は、全て抜き取られたと思って間違いありません。

こうした可能性をできる限り排除するためには、まずはじめに「基本的にDMは無視する」という姿勢でいるべきなんです。」

複数ウォレットの活用

複数ウォレットの活用

「DMは開かない」が鉄則ということは良く分かりました。それ以外に、我々ができることはありますか?

「これは、ある程度のハッキングを覚悟し、その上で被害を最小限に抑えるための施策とはなってしまいますが、複数ウォレットを活用するというのは有効な対策です。

1つのウォレットで管理をしていると、そのウォレットがハッキングされれば全ての資産を失う危険に晒されてしまいます。その対策として、複数のウォレットを使って分散管理するのです。

ちなみに、ウォレットにも様々な種類があり、大きく分けると『ホットウォレット』と『コールドウォレット』というものに分かれます。

NFTの売買の際に必要な『MetaMask(メタマスク:仮想通貨ウォレットの1種)』など、インターネット上で管理するウォレットを「ホットウォレット」と言い、対してインターネットから切り離して利用できる物理的なもの(ハードウェア機器など)を用いるウォレットは「コールドウォレット」です。

この両方を併せて利用すれば、セキュリティ力が確実に上がります。

ホットウォレットは、オンラインでしか扱えないため、常にインターネット上でハッキングの危険に晒されています。

しかしコールドウォレットであれば、インターネットから切り離せるので、オフライン時に盗難に遭うことはありません。

ですから、特に高価なNFTはコールドウォレットに保管しておき、安価なNFTや一時的な取引などで使用するNFTなどはホットウォレットに振り分けるのが、オーソドックスな管理方法と言えます、

ただし、コールドウォレットと言えど秘密鍵(キャッシュカードでいう暗証番号のようなもの)を知られてしまえば他のウォレット同様に手遅れです。

ホットウォレットだろうとコールドウォレットだろうと、秘密鍵は絶対に誰にも知られぬようにするのは当然の防御策です。」

NFTが盗難にあってしまったら

NFTが盗難にあってしまったら

2つのウォレットを使い分けるというのは、具体的なセキュリティ対策のようですね。

しかし、そこまでしてもNFT盗難にあってしまった場合、先程は「盗まれたNFTは二度と戻らない」というお話がありましたが、何かできることなどはないのでしょうか?

「もしNFTが盗難に遭ってしまったら、あるいはハッキングにあったことが分かったら、速やかに同じウォレット内に残っている他の資産(NFTやその他の暗号資産など)を他のウォレットに移動させることで、それ以上の被害を防ぎます。

ウォレットが1つしか無いなら新規で作成し、元のウォレットは二度と使わないようにしなければなりません。

また、NFTのコミュニティなどで相談してみるのもおすすめです。私自身、CNPのコミュニティ『NinjaDAO』のDiscordコミュニティで相談しました。

日本一のNFTコミュニティなので、『超』がつくほどの専門家もいらっしゃり、的確かつ初心者にもわかりやすく親切に指導してくださいました。

それだけでなく、コミュニティ内で他の方の事例や対処を見るだけでも大いに参考になりますしね。

まだまだ理解の浅いNFTを扱う場合には、豊富な知見を持った先輩たちが多くいるコミュニティをうまく活用することで、セキュリティ対策だけでなく、より効果的な運用方法などを学ぶこともできます。

自身のNFTリテラシーを上げていくためにも、コミュニティは有効活用していきたい場所と言えるでしょうね。」

まとめ

今回は、DXportalでも最近注目のWeb3.0関連のテクノロジー、NFTについて、盗難やハッキングなどにあわないための参考として、実際にNFT盗難に遭遇したK氏にインタビューし、盗難の経緯や対策についてお話しいただきました。

最新のテクノロジーが広まる際には、ある程度の痛みは伴います。

しかし、その痛みは適切な対処をすることで、防ぐことも、また最小限に留めることもできるものです。

難しいから、分からないからと敬遠せず、注意しながら学び、触れていくことで、新しいビジネスチャンスへと結びついていくこともあるでしょう。

今現在、日本でもNFTは急速に広まりつつあります。

時代の流れに取り残されないためにも、ぜひこうした失敗談なども参考にした上で、NFTとの良好な付き合い方を模索していってください。

SNSシェア

この記事の執筆者

DXportal®運営チーム

DXportal®編集部

DXportal®の企画・運営を担当。デジタルトランスフォーメーション(DX)について企業経営者・DX推進担当の方々が読みたくなるような記事を日々更新中です。掲載希望の方は遠慮なくお問い合わせください。掲載希望・その他お問い合わせも随時受付中。

DXportal®運営チーム

DXportal®編集部

DXportal®の企画・運営を担当。デジタルトランスフォーメーション(DX)について企業経営者・DX推進担当の方々が読みたくなるような記事を日々更新中です。掲載希望の方は遠慮なくお問い合わせください。掲載希望・その他お問い合わせも随時受付中。

前後の記事

全ての記事を見る

カテゴリーから記事を探す

DX推進マニュアル無料ダウンロードはこちら