幻想と迷宮：暗号世界における社会工学と人間性の駆け引き

著者：ChandlerZ，Foresight News

安全は鎖のようなもので、最も弱い環がその強度を決定します。そして、人は暗号システムにおけるアキレス腱です。市場がより複雑な暗号保護メカニズムの構築に夢中になっている間に、攻撃者はすでに近道を見つけました：パスワードを解読する必要はなく、ただパスワードを使用する人を操作すればよいのです。

人は最も弱い環であり、同時に最も軽視されている環でもあります。言い換えれば、人はハッカーが最も簡単に突破し利用できる脆弱性であり、企業のセキュリティ投資が最も少なく、改善が最も遅い短所でもあります。

ブロックチェーン分析会社Chainalysisの最新報告によると、2024年、北朝鮮のハッカーは47回の複雑な攻撃を行い、世界の暗号資産プラットフォームから13億ドル相当の資産を盗み、前年比21%増加しました。さらに驚くべきことに、2025年2月21日、Bybit取引所がハッキングされ、約15億ドル相当の暗号資産が盗まれ、暗号史上の単一盗難事件の新記録を樹立しました。

過去の多くの重大な攻撃事件は、伝統的な技術的脆弱性を通じて実現されたものではありません。取引所やプロジェクトチームは毎年数十億ドルを技術防護に投資していますが、この数学とコードで構築されたように見える世界では、多くの参加者が社会工学がもたらす脅威を過小評価しがちです。

社会工学の本質と進化

情報セキュリティの分野において、社会工学は独特で危険な攻撃手段であり続けています。技術的な脆弱性や暗号アルゴリズムの欠陥を利用してシステムに侵入するのとは異なり、社会工学は主に人間の心理的弱点や行動習慣を利用して、被害者を欺き操作します。高度な技術的ハードルは必要なく、しばしば非常に深刻な損失を引き起こすことができます。

デジタル時代の到来は、社会工学に新しいツールと舞台を提供しました。暗号の分野では、この進化が特に顕著です。初期の暗号資産コミュニティは主に技術愛好者や暗号パンクで構成されており、一般的に警戒心と一定の技術的素養を持っていました。しかし、暗号資産が徐々に普及するにつれて、関連技術に詳しくない新しいユーザーが市場に参入し、社会工学攻撃の肥沃な土壌を生み出しました。

一方で、高度な匿名性と不可逆的な取引特性により、暗号資産は攻撃者が利益を収穫する理想的なターゲットとなります。一度資金が彼らの制御するウォレットに移されると、ほぼ回収不可能です。

社会工学が暗号分野で容易に成功するのは、人間の意思決定プロセスにおけるさまざまな認知バイアスに大きく起因しています。確認バイアスは投資家が自分の期待に合った情報だけに注目する原因となり、同調圧力は市場のバブルを引き起こし、FOMO（見逃すことへの恐れ）感情はしばしば人々が損失に直面したときに非合理的な選択をする原因となります。攻撃者はこれらの心理的弱点を巧みに利用し、「武器化」しています。

複雑な暗号アルゴリズムを解読しようとするよりも、社会工学攻撃を仕掛けるコストは低く、成功率は高いです。巧妙に偽造されたフィッシングメールや、一見正規のように見えるが罠が隠された求人の招待状は、技術的な問題に直面するよりも効果的です。

一般的な社会工学手法

社会工学攻撃手法は多岐にわたりますが、核心的な論理は「ターゲットの信頼と情報を騙し取る」ことに基づいています。以下は、いくつかの一般的な手法の簡単な説明です：

フィッシング（Phishing）

電子メール/ SMSフィッシング：取引所、ウォレットサービスプロバイダー、または他の信頼できる機関を装ったリンクを利用して、ユーザーにシードフレーズ、秘密鍵、アカウントパスワードなどの敏感情報を入力させる。

偽のソーシャルプラットフォームアカウント：Twitter、Telegram、Discordなどのプラットフォームで「公式サポート」や「著名なKOL」または「プロジェクトチーム」を装い、偽のリンクや偽の活動情報を含む投稿を行い、ユーザーを騙してクリックさせ、鍵を入力させたり暗号通貨を送信させたりする。

ブラウザ拡張機能や偽のウェブサイト：本物の取引所やウォレットサイトに非常に似た偽サイトを構築したり、悪意のあるブラウザ拡張機能をインストールさせたりし、ユーザーがこれらのページで入力または承認すると、鍵が漏洩します。

偽のカスタマーサポート/ 偽の技術サポート

TelegramやDiscordのグループでよく見られ、「管理者」や「技術サポート」を装って、入金が反映されない、出金に失敗した、ウォレットの同期に問題があるなどの理由で、ユーザーに秘密鍵を渡させたり、指定されたアドレスにコインを送金させたりします。

また、プライベートメッセージや小グループで被害者を引き込むこともあり、「失われたコインを取り戻す手伝いができる」と偽って、より多くの資金を誘い込んだり、鍵を取得したりします。

SIMカードスワップ（SIM Swap）

攻撃者は、通信事業者のカスタマーサポートを買収または欺くことで、被害者の電話番号を攻撃者の手に移します。一度電話番号が盗用されると、攻撃者はSMS認証や二要素認証（2FA）などを通じて取引所、ウォレット、またはソーシャルアカウントのパスワードをリセットし、暗号資産を盗むことができます。

SIMスワップはアメリカなどで多く発生しており、他の国でも同様の事件が報告されています。

社会工学と悪意のある採用/ ヘッドハンティングの組み合わせ

攻撃者は採用名目で、ターゲットのメールアドレスやソーシャルメディアアカウントに悪意のあるファイルやリンクを含む「仕事の招待」を送信し、ターゲットにマルウェアをダウンロードさせて実行させます。

攻撃対象が暗号会社の内部社員や核心的な開発者、または多くのコインを保有している「重度ユーザー」である場合、企業のインフラが侵入され、秘密鍵が盗まれるなどの深刻な結果を招く可能性があります。

2022年のAxie InfinityのRoninブリッジの安全事故について、The Blockの報道によれば、この攻撃事件は偽の求人広告に関連しているとのことです。関係者によると、ハッカーはLinkedInを通じてAxie Infinityの開発者Sky Mavisの社員に連絡し、数回の面接を経て高給で採用されたと告げました。その後、その社員はPDF文書で提示された偽の採用通知をダウンロードし、ハッカーのソフトウェアがRoninのシステムに侵入し、ハッカーがRoninネットワーク上の9つのバリデーターのうち4つを攻撃して制御しました。残りの1つのバリデーターを制御すれば完全に制御できるところまで至り、その後、未撤回の権限を持つAxie DAOを制御して最終的な侵入を実現しました。

偽のエアドロップ/ 偽の贈与コイン活動

Twitter、Telegramなどのプラットフォームで見られる偽の「公式」活動、例えば「x個のコインを特定のアドレスに送金すれば倍返しされる」などは、実際には詐欺です。

攻撃者は「ホワイトリストエアドロップ」「テストネットエアドロップ」と称し、ユーザーに未知のリンクをクリックさせたり、フィッシングサイトのウォレットに接続させたりすることで、鍵を誘い出したり、承認を得てコインを盗むことがあります。

2020年には、オバマ、バイデン、バフェット、ビル・ゲイツを含む多くのアメリカの政商名流や多くの有名企業のソーシャルメディアのTwitterアカウントが盗まれ、ハッカーはパスワードを盗んでアカウントを乗っ取り、倍返しを餌にユーザーに暗号通貨を指定されたアカウントに送金させるメッセージを発信しました。近年、YouTubeではマスクを装った「倍返し」詐欺が多数存在しています。

内部者の浸透/ 退職者による犯罪

いくつかの暗号通貨会社やプロジェクトチームの退職した社員、または攻撃者に買収された在職社員が、内部システムや操作プロセスに精通していることを利用して、ユーザーデータベース、秘密鍵を盗んだり、未承認の取引を実行したりします。

このようなシナリオでは、技術的な脆弱性と社会工学がより密接に結びついており、大規模な損失を引き起こすことがよくあります。

「バックドア」が埋め込まれた、または改ざんされた偽のハードウェアウォレット

攻撃者はeBay、フリマアプリ、Telegramグループ、または他の電子商取引/中古取引プラットフォームで、市場価格よりも低い価格や真贋保証などのキャッチフレーズを使ってハードウェアウォレットを販売しますが、実際にはデバイス内部のチップやファームウェアが置き換えられています。また、ユーザーが意図せずにリファービッシュ品や中古品を購入した際、売り手が事前に秘密鍵をインポートしている場合があり、購入者が資金を入金すると、攻撃者は同じ秘密鍵を使っていつでも引き出すことができます。

さらに、データ漏洩事件の後、ユーザーはメーカー（例えばLedger）を装った偽の無料交換デバイスや安全アップグレード版デバイスを受け取り、新しいリカバリーフレーズカードや操作説明書が同梱されていることがあります。ユーザーがこれらのプリセットされたリカバリーフレーズを使用したり、元のリカバリーフレーズを偽のデバイスに移行したりすると、攻撃者はそのウォレットのすべての資産へのアクセス権を掌握します。

上記の例は氷山の一角に過ぎず、社会工学の多様性と柔軟性は、暗号通貨分野における破壊力を特に顕著にしています。ほとんどの一般ユーザーにとって、これらの攻撃はしばしば防ぎきれません。

欲望と恐怖

欲望は常に最も操作されやすい弱点です。市場が極度に活発なとき、一部の人々は同調効果により、突然注目を集めたプロジェクトに飛びつくことがあります。恐怖や不確実感も社会工学がよく利用する突破口です。暗号が激しく変動したり、プロジェクトに問題が発生したりすると、詐欺者は「緊急通知」を発表し、プロジェクトが極度の危険にさらされていると主張し、ユーザーに資金を「安全なアドレス」に移すよう誘導します。多くの初心者は損失を恐れて冷静な思考を保つことができず、しばしばこのような恐慌に巻き込まれやすいです。

また、FOMOの心理は暗号エコシステムの至る所に見られます。次のブルマーケットや次のビットコインを逃すことを恐れ、人々は資金を急いで投入しプロジェクトに参加しますが、リスクや真偽を見極める基本的な能力を欠いています。社会工学の攻撃者は、機会が一瞬で消え、逃すと二度と倍返しの可能性がない雰囲気を作り出すだけで、一部の投資家を自ら罠に陥れることができます。

リスクの識別と防止

社会工学が防ぎにくいのは、それが人間の認知の盲点や心理的弱点をターゲットにしているからです。投資家として、以下の重要なポイントに注意すべきです：

安全意識の向上

秘密鍵やリカバリーフレーズを無闇に漏らさないこと。どんな状況でも、他人に対して自分の秘密鍵、リカバリーフレーズ、または敏感な個人情報を明かすことは信じてはいけません。本物の公式チームは、ほとんどの場合、プライベートチャットでこのような情報を求めることはありません。

「不合理な利益の約束」に警戒すること。「ゼロリスク高リターン」「元本の数倍返還」といった活動は、詐欺の可能性が非常に高いです。

リンクと出所の確認

ブラウザのプラグインや公式チャネルを使用してURLを確認すること。暗号通貨取引所、ウォレット、または分散型アプリ（DApp）のウェブサイトについては、ドメインが正しいか何度も確認する必要があります。

不明な出所のリンクを無闇にクリックしないこと。「エアドロップの特典」や「公式の補償」と主張する場合は、まず公式のソーシャルメディアや公式チャネルで確認するべきです。

コミュニティとソーシャルメディアの識別に注意

公式アカウントの認証マーク、フォロワー数、インタラクション記録を確認すること。見知らぬプライベートチャットグループを無闇に追加したり、グループ内の未知のリンクをクリックしたりしないこと。

「無料のランチ」情報には疑いの目を持ち、よく見て質問し、経験豊富な投資家や公式チャネルで確認すること。

健全な投資心態の構築

市場の変動を理性的に捉え、短期的な暴騰や暴落の感情に巻き込まれないこと。

常に最悪の事態を想定し、「逃すことを恐れる」あまり潜在的なリスクを無視しないこと。

人間要因の永遠の重要性

人間性は社会工学が繰り返し成功する根本です。攻撃者は同調心理、欲望、恐怖、不安感、FOMO（見逃すことへの恐れ）などの特性をターゲットにして、さまざまな詐欺を設計します。

ブロックチェーンと暗号分野の技術の進化とビジネスモデルの拡大に伴い、社会工学の手法も進化します。ディープフェイク技術の成熟は、近い将来にさらなる脅威をもたらす可能性があります。攻撃者は合成されたビデオや音声を使用して、プロジェクトの責任者をリアルに偽装し、被害者とリアルタイムで接続するかもしれません。多次元の社会工学もアップグレードされ、攻撃者は複数のソーシャルプラットフォームを横断し、長期間潜伏して情報を収集し、巧妙に設計された感情操作でターゲットを攻撃する可能性があります。

社会工学の持続的な存在は、技術がどれほど進歩しても、人間要因がシステムの核心的な構成要素であることを思い出させます。社会工学の影響を完全に排除することは現実的ではないかもしれませんが、コードと人間の両方に同時に注目することで、より弾力性のあるシステムを構築する手助けができるでしょう。