MetaMask(メタマスク) ご利用確認のお願いという詐欺メールにアクセスしてみた
本人確認をクリックすると、どんなページに移動するのか
認証プロセスが正しく完了されていないという事で、認証してくれという内容の詐欺メールが、MetaMaskを名乗る者から届きました。実は私、このMetaMaskと言うものがどのようなものなのか、全く知りませんでした。聞いた覚えもない、初耳なサービスでした。一つ勉強させてくれてありがとうという、メールでした。
そもそも、MetaMaskとは、何なのか
MetaMaskは、Ethereum系ブロックチェーンの通貨やNFTを一括で補完・管理できるソフトウェアウォレットであり、ブラウザ拡張機能版とモバイルアプリ版がある。
2016年9月に公開され、ConsenSysという会社によって開発・運営されている。(Wikipediaより引用)
とのこと。全く利用した覚えもなく、今日初めて存在を知ったくらいなので、数うちゃ当たるみたいな感じでメールを送ってきたのでしょう。メールアドレスなどの個人情報が流出したわけではないですね。
送信されてきたメールの内容
メール差出人は、MetaMask <Web@metamask.io>でした。件名は、【重要なお知らせ】MetaMask(メタマスク) ご利用確認のお願いでした。
メール本文をコピーしてペーストした場合、文字が上手く貼り付けできないため、画像にてご紹介します。
すべてのユーザーは、KYC認証を受けなければならないそうです。KYC認証とは、特定の企業が特定の業務を行う際に義務付けられた、本人確認手続きの総称とのこと。クイック本人確認をクリックすればその認証とやらが、自動的に行われるそうです。そのクリック本人認証をクリックすると、どうなるのでしょうか。ここから先は、同じようにクリックしないことを強く推奨いたします。
クイック本人認証をクリックするとどうなるか。このサイトの目的は?
リンク先URLは、https://metamasko.cc/になっております。
このサイトもすでにグーグルクロームでは警告の対象となっておりました。警告を無視して先に進むとどうなるでしょうか。
公式サイトを拝見したことがないのですが、恐らくは公式サイトを模したフィッシングサイトなのでしょう。このサイトにあるほとんどのリンク先はリンク機能さえありませんでした。ダウンロードもできません。動くのは、サイトの表示色変更、明るい基調色か暗い基調色かを変更するバーと、Youtube動画、そして、一番重要なStart verification Processというところだけでした。FAQsをクリックすると、中国語で404Notfoundが表示されました。
では、Start verrification Processに進んでみようと思います。クリックすると、Please verify your identityと表示されているその下に、Mnemonic Phrase Verifyというボタンと、Private Key Verifyというボタンが表示されており、このどちらもクリックすることが可能になっていました。Please input it in the order specified.と書かれていて、その下にテキストボックスがあります。そこに適当なアルファベット文字12文字入力してみました。12文字以下では、再入力を求められ、12文字以上であれば、aaaa・・・・でも可能でした。verifyをクリックしてみると、Wallet successfully unlocked!とのこと。謎の90秒カウントダウンがスタートして、Please verify your identityに戻されました。Private Key Verifyでも同じような内容でした。
この詐欺サイトの目的は、Mnemonic Phrase(ニーモックフレーズ)とPrivate Key(プライベートキー)の情報を盗み出すことにあるようですね。