2026年5月末に発生したフィッシングキャンペーンにより、多数のEVMウォレットがMetaMaskを装った「必須アップグレード」を名目として資金を盗まれる被害が報告されました。オンチェーン調査員のZachXBTは、5月28日にEthereum、Polygon、Arbitrum、Baseで関連する出金トランザクションのクラスターを発見しました。過去の大型ハッキングと比べて1件あたりの金額は小さいですが、被害件数が多く、手口も巧妙でした。
確認されたケースでは、1ウォレットあたり平均して数千ドル台の損失が見られ、ZachXBTの5月30日時点の集計で400以上のアドレスから総額900万ドル以上が流出しています。注目すべきは被害額だけでなく、手口の洗練度です。偽のメールやプッシュ通知で、「ウォレットの継続利用にはアップグレードの検証が必要」と警告され、リンク先でウォレット接続と署名を求められます。その署名はドレイナーコントラクトへのトークン承認となり、数秒でウォレットが空になるという流れでした。
フィッシング攻撃の流れ
今回の攻撃は5段階からなり、非常にシンプルです。被害者はMetaMaskからのように見えるメールや通知を受け取ります。「2026年アップグレードを行わないとウォレットが利用停止になる」と記載され、偽のMetaMask公式サイト(例:metamasks-update.com、metamask-validator.io等)に誘導されます。
偽サイトは本物を精巧に模倣しており、「検証」ボタンからWalletConnectが開きます。ユーザーは内容を読まずにトランザクションに署名してしまい、その実体はERC-20トークンのsetApprovalForAll、NFTの承認、またはpermit署名です。これによりドレイナーコントラクトがウォレット内の全資産を動かすことが可能になります。
署名直後、ドレイナーコントラクトが全てのトークンを攻撃者のアドレスへ送付し、複数チェーンをまたいで資金が移動され、ミキシングサービスなどを経由して最終的なアドレスに流入します。
効果的だった要因
このキャンペーンが他と異なる点は主に3つです。第一に「なりすまし」の精度が高かったこと。過去のMetaMask詐欺メールは不自然な文面や怪しいドメインが多かったですが、今回は本物そっくりのサイトやメールを用意し、事前準備も徹底されていました。
第二に「正当性のありそうな緊急性」が利用された点です。ブラウザや銀行アプリでも見慣れた「必須アップグレード」という表現で、脅迫や報酬の約束、シードフレーズ入力の要求もありませんでした。
第三に、クロスチェーンに対応していた点です。EthereumだけでなくPolygon、Arbitrum、Baseにも同時展開し、接続チェーンごとに適切にドレイナーアドレスが設定されていました。
ZachXBTによる解析の方法
オンチェーン分析では、まずEthereumのドレイナーコントラクトから資金提供元のウォレットを特定し、そこからPolygonやArbitrum、Baseの対応コントラクトを辿りました。資金提供元はキャンペーン開始3週間前に中央集権型取引所から資金を受け取っていますが、この取引所はKYC無しのオフショア拠点であり、法的追跡は困難です。ZachXBTは、既存の犯罪グループがインフラを他者に貸し出し、報酬の20-30%を得ている可能性を指摘しています。
ハードウェアウォレットなら防げた理由
被害アドレスの多くはホットウォレット(ブラウザ拡張、モバイルアプリ等)でした。MetaMaskにLedgerやTrezor等のハードウェアウォレットを接続していれば、物理デバイス上で署名内容を確認し、知らないコントラクトの署名を拒否できた可能性があります。この「一手間」こそが防御策となります。
また、MetaMaskなど主要ウォレットは承認内容のプレビュー機能を備えており、不審な無制限承認を警告しますが、古いバージョンや注意を払わずにクリックした場合は被害に遭うリスクが残ります。
今週EVMユーザーがとるべき行動
基本的な対策は変わりません。「必須アップグレード」や「検証」メッセージは原則フィッシングと考え、正規のウォレットアップデートはアプリ内でのみ実施してください。不明な場合は手入力で公式サイトにアクセスしましょう。
未使用のトークン承認を取り消すことも重要です。暗号資産セキュリティチェックリストの情報も参考にしてください。長期保有や多額の資産管理にはハードウェアウォレットを推奨します。ハードウェアウォレットが使えない場合も、専用ブラウザプロファイル等でセキュリティを強化しましょう。
トランザクション署名時は必ず内容を確認し、知らないコントラクトかつ無制限承認の場合は拒否してください。
よくある質問
自分が被害者かどうかの確認方法は?
過去10日間のウォレット履歴で、記憶にない承認や送金を確認してください。不明なコントラクトへの承認は警告サインです。資金流出を確認した場合は、ZachXBTおよび地元警察に報告しましょう。
MetaMaskはこれらのドメインをブロックしないのか?
MetaMaskはフィッシングドメインのブロックリストを運用していますが、攻撃側がドメインを高速で入れ替えるため完全な防御にはなりません。
L2ウォレットは安全なのか?
いいえ。本キャンペーンのドレイナーコントラクトは全てのEVMチェーンで機能します。
資金を中央集権型取引所に移すべきか?
ご自身のリスク許容度により異なります。信頼性の高いカストディアンでの保管はフィッシング被害リスクを低減しますが、プラットフォームやカウンターパーティリスクも生じます。多くのユーザーにとっては、長期保有用のハードウェアウォレットと少額のホットウォレット、取引用の信頼できるカストディアンの組み合わせが推奨されます。
まとめ
このキャンペーンでは約1週間で400以上のウォレットから900万ドル超の資金が流出しました。インフラは現在も稼働中で、手口の巧妙さから今後も被害が続く可能性があります。「必須アップグレード」メッセージへの警戒、定期的な承認リセット、トランザクション内容の確認といった基本対策が重要です。今後はMetaMaskだけでなく他の主要ウォレットへのなりすましも予想されますので、見知らぬアップグレード通知には特にご注意ください。
本記事は情報提供のみを目的としており、金融アドバイスや投資の推奨を行うものではありません。暗号資産取引にはリスクが伴います。取引判断の際は必ずご自身でリサーチを行ってください。
