
AI顔交換、プラグインの罠――2件のセキュリティ事故でユーザーの損失が1000万以上に
TechFlow厳選深潮セレクト

AI顔交換、プラグインの罠――2件のセキュリティ事故でユーザーの損失が1000万以上に
安全性は効率や収益性よりもはるかに重要であり、これが「非中央集権」と称する暗号世界が中央集権から離れられない一因なのかもしれない。
執筆:陀螺財経
セキュリティ事故は従来の金融分野でも珍しくないが、匿名性の高い暗号資産業界のような「暗黒の森」では、むしろ日常茶飯事といえる。
データによると、先月5月だけでも暗号資産業界では37件の典型的なセキュリティ事故が発生し、ハッキング攻撃、フィッシング詐欺、Rug Pull(プロジェクト放棄)によって合計1億5400万ドルの損失が発生しており、4月と比べて約52.5%増加した。
そして6月3日、再び2件のセキュリティ事故が発生した。他の事件とは少し異なり、いずれも大手取引所に関連しており、その経過も奇抜なものだったが、結末はやはり、喜ぶ者もいれば悲しむ者もいた。
6月3日、Xプラットフォーム上で「Nakamao」というネットユーザーが投稿した長文が拡散された。彼は文中で「自分は暗号資産業界の犠牲者となり、Binanceアカウント内の100万ドルが一瞬にして消えた」と語った。彼の語り口調から、次々と連鎖するハッカーによる盗難の幕が開けた。
5月24日、Nakamaoは仕事中であり、すべての通信機器を手元に置いていたという。しかし、こうした万全と思われる状況下でも、ハッカーはBinanceアカウントのパスワードや二段階認証(2FA)コードを取得せず、クロストレード(対敲取引)を通じて彼のアカウント内資金をすべて盗み出したのである。

クロストレードとは、流動性が低い取引ペアにおいて大口取引を行い、一方の取引者がハッカーの売り注文を買い支えることで、ハッカーは特定のアルトコインまたはステーブルコインを現金化する手法である。この種の盗難は取引所では珍しくなく、2022年にはFTXが3commasのAPIキー漏洩により600万ドルものクロストレード被害を受けたことがある。当時、SBFは自腹で補填して事態を収拾した。その後、Binanceでも同様の大規模なクロストレードが相次いで発生している。ただし、この手法の狡猾さは、リスク管理が不十分な取引所にとっては単なる通常取引と見なされ、明確な異常行動として検知されにくい点にある。
今回のケースでは、QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC、NEO/USDCの取引ペアが選ばれ、大量資金による購入により価格が20%以上上昇した。ハッカーのすべての操作について、ユーザーは気づかず、1時間以上後にアカウントを確認してようやく異変に気づいた。
セキュリティ会社の分析によれば、ハッカーはウェブブラウザのCookieを乗っ取り、ユーザーのアカウントを操作した。つまり、ウェブ端末に保存されたデータを利用したのだ。典型例としては、インターネット上で特定のページにアクセスする際、過去にログイン情報を保存していれば、再度パスワードを入力せずに利用できる仕組みがある。
ここまでなら、単にユーザー自身の不注意が原因とも言えるが、その後の展開はさらに奇妙になっていく。盗難後、NakamaoはすぐにカスタマーサポートおよびBinance共同創業者の何一氏に連絡し、UIDをセキュリティチームに提供して、短期間でハッカーの資金を凍結することを期待した。しかし、Binanceのスタッフは丸一日かけてからKucoinとGateに通知したため、当然ながらハッカーの資金はすでに姿を消していた。しかも、ハッカーは複数のアカウントを使わず、単一のアカウントでBinanceからすべての資金を問題なく引き出していた。この一連のプロセスで、ユーザーは一切のセキュリティ警告を受け取っておらず、皮肉なことに、大量取引を行った翌日には、Binanceから現物マーケットメイキングの招待メールさえ届いた。
事後の振り返りの中で、ごくありふれたChrome拡張機能「Aggr」がNakamaoの目についた。この拡張機能は相場データサイトの閲覧用であり、被害者は海外の複数のKOLが数ヶ月間にわたり推奨しているのを見て、自身のニーズに合わせてダウンロードしたという。
ここで簡単に解説すると、拡張機能は多くの操作を可能にしており、理論的には悪意のある拡張機能が取引アカウントにログインし、ユーザー情報にアクセスして取引を行うだけでなく、資金の引き出しやアカウント設定の変更も可能になる。その理由は、拡張機能自体が広範な権限を持ち、ネットワークリクエストの操作、ブラウザのストレージへのアクセス、クリップボードの操作など多数の機能を実行できるからである。
拡張機能に問題があることに気づいたNakamaoは直ちにKOLに問い合わせ、ユーザーに対してこの拡張機能の使用停止を呼びかけた。ところが、まさにその瞬間、逆風がBinanceに向かった。Nakamaoの当初の主張によると、Binanceは以前からこの拡張機能の問題を把握しており、今年3月にも類似の事件が発生していた。Binanceはその後ハッカーを追跡していたが、犯人を驚かせたくないという理由から製品の一時停止を遅らせ、KOLに対してもハッカーとの接触を継続させた。その期間中に、Nakamaoが次の犠牲者となったのである。
Cookieのみでログインして取引が可能となる点で、Binanceのシステムにも明らかに問題がある。だが一方で、事件の発端はユーザー自身の不注意であるため、責任の所在は曖昧になってしまった。
案の定、Binanceのその後の対応は市場で大きな波紋を呼んだ。公式アカウントでの説明では、原因はハッキング攻撃であり、AGGR拡張機能に関する情報をBinanceは把握していなかったと強調した。また、あるWeChatグループ内で何一氏は「この件はユーザーのPCがハッキングされたもので、神仙でも救えない。Binanceとしてもユーザーのデバイス感染に対して補償はできない」とコメントした。

Binanceの対応に対して、Nakamaoは納得できず、リスク管理の怠慢を指摘した。また、KOLが明確にBinanceチームに拡張機能の問題を報告していたことから、Binanceは知情不報の疑いもあると主張した。世論の高まりを受け、Binanceは改めて「悪意のある拡張機能を報告したユーザーに対する報酬制度」を設けると発表した。
一連の騒動はこれで落ち着くかと思われたが、面白いことに6月5日、状況が再び反転した。Nakamaoは再びXプラットフォームでBinanceに公開謝罪の投稿を行い、「Binanceとの情報に齟齬があり、個人的な思い込みもあった。Binanceは実際に拡張機能のことを知らなかった。Binanceがaggr.tradeのURLを初めて認識したのは5月12日であり、当初言われていた3月ではなかった。また、KOLはBinanceのスパイではなく、KOLとBinanceのやり取りはアカウントの問題に関してであり、拡張機能の話ではなかった」と述べた。
この声明の真偽はともかく、態度が180度変わったこと――失望からの訴えから公開謝罪へ――から見て、Binanceが何らかの補償を行ったことは明らかだろう。ただし、具体的な補償額については不明である。

一方、6月3日にはBinance以外にも、OKXも影響を受けた。あるOKXユーザーがコミュニティで、AIフェイク顔を使ったアカウント盗難により200万ドルが引き出されたと報告した。この事件は5月初頭に発生し、ユーザーによれば個人情報の漏洩とは無関係で、ハッカーがメールアドレスにログインし「パスワードを忘れた」をクリックした後、偽の身分証明書とAI生成の顔認証動画を作成して、ファイアウォールを突破。その後、携帯電話番号、メールアドレス、Google Authenticatorを変更し、24時間以内にアカウントの全資産を盗み出したという。
動画を見ることはできなかったが、ユーザーの説明から察するに、AI合成動画の出来は非常に拙劣であったと考えられる。それにもかかわらず、OKXのリスク管理システムを突破したため、ユーザーはOKXにも責任があるとして全額補償を求めている。しかし、詳細に分析すれば、犯人はこのユーザーに精通しており、その習慣やアカウント残高を把握していた可能性が高く、身内による犯行と推測される。ユーザー自身も「友人が常にそばにいた」と書いている。通常の場合、OKXはこのようなケースに対して補償を行わない。現在、このユーザーは警察に通報し、法的手段による回収を目指している。
これらの2つの事件に対して、暗号資産コミュニティでは広く議論が行われている。もちろんセキュリティの観点から言えば、多くの人々が「ウォレットのセルフホスティングこそが資産の完全な支配権を保つ唯一の方法」と強調しているが、現実には取引所は個人よりも依然として安全であることが多い。その核心は「第三者との連携が可能」という点にある。取引所であれば少なくとも直接連絡可能な存在であり、結果如何を問わず調査に介入してくれる可能性がある。適切にコミュニケーションを取れば、前述の被害者のように補償を得ることも可能だ。しかし、セルフホスティングウォレットが盗まれた場合、ほとんど補償の余地はない。
ただ、現時点における取引所のセキュリティ改善は急務である。大手取引プラットフォームは大多数のユーザー資産を管理しており、暗号資産は回収困難な性質を持つため、セキュリティはより重視されるべきだ。伝統的な金融サービスでは、ほぼ毎回ログアウト時に再ログインが必要で、アカウントの不正利用を防いでいる。送金時には通常、追加の認証手段も求められる。そのため、コミュニティからは、取引所に対してパスワードロック機能の導入、取引前の2FA認証強化、IPアドレス変更時の再認証、あるいはMPC(マルチパーティ計算)による分散認証方式の採用を提案している。これにより、ユーザーエクスペリエンスを犠牲にしてでもセキュリティを向上させるべきだという意見もある。一方で、頻繁な認証はハイフリーケンシー取引にとって煩雑すぎるとして、実用性に欠けるとする声もある。
何一氏もこれに応えて、「現在、急激な価格変動に対してはビッグデータ警報と人的ダブルチェックを併用しており、ユーザーへの通知も強化している。拡張機能の実行やCookieの許可についても、まもなく認証頻度を高める予定だ。このシナリオでは取引パスワードは適用外だが、Binanceはユーザーごとの差異に基づき、追加のセキュリティ検証ステップを設ける」と述べた。

原点に戻れば、この2つの事件からユーザー自身も高い警戒心を持つ必要がある。資産を分散保管し、可能な限り専用の独立したデバイスを使用すべきだ。認証の分散化を推奨し、利便性を最優先しないこと。パスワードなし設定や生体認証の利用は避け、拡張機能の使用には慎重になり、大口資産についてはハードウェアウォレットでの保管を強く勧める。
暗号資産は実物資産とは異なり、実物であれば追跡の余地があるが、暗号資産の盗難は規制の制約から、ほぼ補償が不可能であり、刑事告訴さえ難しい場合が多い。
このようなケースは珍しくない。最近「1818ゴールドアイ」の報道でも典型的な例が紹介された。被害者の朱氏は、知乎(Zhihu)上で「仮想通貨取引で数千万円の収益を得た」と自称する「程七七」という人物を見つけ、彼に追随して利益を得たいと考えた。両者は契約を結び、利益の70%を程七七が、30%を朱氏が受け取るという分配方式を定めた。損失が出た場合は双方が50%ずつ負担するという条件で、取引中は朱氏はポジションをコピーするだけでよく、すべてのアカウント所有権は自身が保持していた。
これほど高い分配率と信頼性のあるように見える契約にもかかわらず、信頼できる結果は得られなかった。初期に小さな利益を得た後、朱氏は投資額を増やし、「強制決済(ロスカット)の全額補償」を謳う程七七の勧めで、借り入れた60万元の元本に100倍のレバレッジをかけてETHを空売りした。しかしETHが上昇したため、朱氏はすべての資金を失った。
この種のケースは刑事告訴が極めて困難である。なぜならすべての取引操作が本人の意思で行われており、詐欺や強要行為が認められないためだ。結局、警察や記者も「中国の法律によれば、仮想通貨取引は保護対象ではなく、極めて高いリスクがある。十分に注意してください」としか言えなかった。

最終的に朱氏は、悲しみと無念さを浮かべながら、滑稽な結末を迎えた。
いずれにせよ、ここであらためて取引参加者に呼びかける。どの金融分野においても、暗号資産業界のように安全性の一部を犠牲にして高収益と自由度を得ている分野であっても、「セキュリティ」は効率性や利益よりもはるかに重要である。おそらくこれが、脱中央集権を掲げる暗号世界ですら、中央集権的な存在から逃れられない理由の一つなのだろう。
結局、人間の本性とはそういうものだ。誰もが誰かに守ってもらいたいと思うし、いくらお金を稼いでも、他人の犠牲になるのは望まない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












