
本物か偽かのプロジェクト陣:コメント欄のニセアカウントによるフィッシングに注意
TechFlow厳選深潮セレクト

本物か偽かのプロジェクト陣:コメント欄のニセアカウントによるフィッシングに注意
本稿では、有名プロジェクトのコメント欄で活動するフィッシンググループの犯行手順を分析する。
執筆:山 & Liz
背景
最近、スローミストセキュリティチームは複数の盗難相談を順次受け取りました。これらの事件を分析した結果、大多数の盗難原因が驚くことに、著名なプロジェクトチームのTwitter投稿に対するフィッシングコメントによるものであることが判明しました。
その後、スローミストセキュリティチームは対象的な分析と統計を行いました。約80%の著名なプロジェクトチームがツイートを投稿した後、そのコメント欄の最初の投稿がフィッシング詐欺アカウントによって占められていることがわかりました。フィッシンググループの自動化レベルの高さと、一部の暗号資産関係者のセキュリティ意識の低さを踏まえ、本稿では著名なプロジェクトのコメント欄におけるフィッシンググループの犯行手順を解説し、暗号資産関係者に警鐘を鳴らします。
犯行手順
1. Twitterアカウントの購入。Telegramには多数のTwitterアカウント販売グループが存在することが確認されました。これらのアカウントはフォロワー数や一定数の投稿があり、登録時期もさまざまで、購入者はニーズに応じて適切なアカウントを選択できます。グループ内の過去の履歴を見ると、販売されているアカウントの多くは暗号資産業界関連のアカウントやインフルエンサーのアカウントです。


Telegramのアカウント販売グループ以外にも、専門的にTwitterアカウントを販売するウェブサイトがあります。こういったサイトでは、各年に対応するTwitterアカウントを販売しており、特定の類似アカウント(例:公式アカウント「Optimism」とユーザー名が酷似している偽アカウント「Optimlzm」)の購入も可能です。また、こういったサイトでは暗号通貨での支払いも受け付けています。

(https://twitteraccseller.mysellix.io/)
2. 既存アカウントを購入した後、フィッシンググループはプロモーションツールを使ってフォロワーやインタラクションを購入し、アカウントの信頼性を高めます。この種のプロモーションツールも暗号通貨決済に対応しており、海外主要SNSプラットフォームのいいね、リツイート、フォロワー数などのサービスを提供しています。購入者は、宣伝したいリンクと必要な数量を入力するだけで購入できます。

(https://easyliker.ru/services)
同プラットフォームのカスタマーサポートによれば、同サイトでの注文数はすでに130万件以上に達し、2万人以上のユーザーがサービスを利用しているとのことです。

3. 上記の準備を経て、フィッシンググループは十分な投稿数とフォロワーを持つTwitterアカウントを取得します。その後、プロジェクトチームの公式アカウントを模倣してアカウント情報を設定することで、ある人々にとっては両者の違いが見分けにくくなります。そして、フィッシンググループが実際にフィッシングを行う重要な段階に入ります:
-
自動化されたボットが著名なプロジェクトの動向を監視;
-
プロジェクト側がツイートを投稿すると、フィッシンググループのボットが即座に自動でコメントを投稿し、最初のコメント位置を確保して高い閲覧数を得る;
-
ユーザーが閲覧している投稿は確かに公式アカウントから送信されたものであり、さらに偽アカウントが公式アカウントと非常に似通っているため、ユーザーが油断して偽アカウント内のエアドロップなどを装ったフィッシングリンクをクリックし、許可や署名を行うと、資産を失うことになります。
実例
1月12日、Optimismの公式Twitterアカウントがツイートを投稿しました。そのツイートの最初のコメントがフィッシンググループによるものでした。このコメントは高いインタラクション数を記録しており、本文中には公式サイトへのリンクが含まれていましたが、実際のリンク先はフィッシングサイトでした(下図参照)。同日、スローミストのCISO @IM_23pdsはTwitterで警告を発し、一般ユーザーに対してプロジェクト公式アカウントのコメント欄に現れる高精度な偽アカウントによるフィッシングに注意するよう呼びかけました。

(https://twitter.com/IM_23pds/status/1745662404300788120)
フィッシンググループはTwitterの表示名変更機能を利用しています。ユーザーは自身のTwitter表示名(Display Name)を変更できますが、これはTwitter上の唯一の識別子であるユーザー名(Handle、通常@で始まる)を変更するものではありません。この偽アカウントの表示名は公式アカウントと同じ「Optimism」に変更されていますが、よく見るとユーザー名にわずかな差異があります。つまり、公式アカウントの「is」が偽アカウントでは「lz」に置き換えられています。このようなフィッシング手法については、既に「ブラックハンドブック」でも紹介されています。
MistTrack 分析
チェーン上追跡ツールMistTrackを使用して、TelegramでTwitterアカウントを販売している人物のアドレス0xd02c75102ed941b26e318c0896c5b5aeb4ddc965を調査したところ、このアドレスに送金したアドレスはすべてMistTrackによりフィッシングや盗難に関連する悪意のあるアドレスとしてマークされていました。これらのアドレスをダブルクリックすることで、さらに多くの悪意のあるアドレスが追跡され、この闇市場の規模の大きさが明らかになりました。


対策
1. フィッシング防止プラグインの最適化。ブロックチェーン業界の90%のNFTフィッシングは偽ドメインに関連しており、リアルタイムでフィッシングドメインの更新を追跡し警告を発することは極めて重要です。たとえば、ユーザーがフィッシングページを開いた際に、関連プラグインやブラウザが直ちにリスクを警告すれば、以降の署名詐欺は防げます。これにより、リスクを第一段階で遮断できます。
2. ウォレットの「表示通りに署名」「インタラクション時の安全識別」機能。ウォレットに署名詐欺検知機能があれば、ユーザーが署名する内容の詳細(何を、いくら、誰に許可するかなど人間が読める形式のデータ)を明確に提示でき、少なくともユーザーが承認内容を一目で確認できるようになり、最後の防衛線として罠にかかりそうなユーザーを阻止できます。
3. 個人のセキュリティ意識の構築。どんな製品、記事、注意喚起も補助的なものです。自身のセキュリティ意識を高め、リンクをクリックする前、許可や署名を行う前に必ず再確認することで、資産損失や詐欺被害を回避できます。
まとめ
本稿では、著名なプロジェクトのTwitterコメント欄におけるフィッシングコメントの現象に基づき、フィッシンググループの犯行手順を解析し、広範なユーザーがこのフィッシング手法を理解し、警戒心を高め、資産の盗難を避けることを願っています。
最後に、より多くのセキュリティ知識を得るために、スローミストが制作した『ブロックチェーンダークフォレスト 自救ハンドブック』の閲覧をお勧めします。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News









