住所詐称詐欺:その手口と回避方法
普段通り仮想通貨を送金する場面を想像してみてください。ウォレットを開き、取引履歴を確認し、これまで何度も使用したアドレスをコピーして貼り付け、送信ボタンを押します。送金は数秒で完了します。問題は、送金したお金が、あなたのアドレスとほぼ同じように見えるアドレスを作成するために実際のコンピューティング能力を費やした見知らぬ人物の手に渡ってしまったことです。ブロックチェーンは、あなたが指示したとおりに動作しました。これがアドレスポイズニングです。鍵の盗難もマルウェアも関係なく、あなたのレコードに偽のあなたが仕込まれているだけです。このガイドでは、この詐欺の仕組み、3つの形態、人々が実際にどれだけの損失を被っているか、そして資金を間違った場所に送金する前にアドレスポイズニング詐欺を防ぐためのいくつかの習慣について説明します。
アドレスポイズニングとは実際には何なのか
アドレスポイズニングは、暗号化技術そのものではなく、ユーザーの記憶と画面を標的としたフィッシング攻撃です。秘密鍵は一切触れられません。データが抜き取られたり、復号化されたり、ハッキングされたりすることもありません。この詐欺は、人間の怠惰な習慣につけ込んでいます。ブロックチェーンアドレスは、文字と数字が長く判読不能な羅列(0x4a3f...c91dのようなもの)であり、ほとんど誰も全文を読まないのです。最初の4文字を確認し、最後の4文字を確認して、肩をすくめて次に進みます。
その肩をすくめる仕草こそが、脆弱性の全てです。目に見える文字を共有するアドレスを作成し、それを既に信頼している人に見せれば、偶然にも送金を受け取れる可能性がかなり高くなります。残酷なのは、その後に起こることです。オンチェーン送金は最終的なものであるため、銀行に問い合わせることも、取り消すこともできません。確認した瞬間に、お金は他人のものになります。従来の金融で人々を救済するセーフティネットである保険やチャージバックは、ここでは存在しません。アドレスポイズニングはブロックチェーンを破壊するわけではありません。それはあなたの注意をそらし、あなたの注意が逸れた部分をチェーンが正確に実行できるようにするのです。
暗号通貨におけるアドレスポイズニングの仕組み
結果はまるで魔法のようだが、その仕組みはごくありふれたものだ。アドレスポイズニング攻撃は3つのステップで実行され、その手順を研究すれば誰でも再現できる。
ステップ1:類似アドレスの生成
まず攻撃者は標的となるアドレス(通常は頻繁に送金が行われるアドレス)を選び、次にバニティアドレス生成ツールを実行します。このソフトウェアは候補となるキーペアを次々と試していき、被害者が普段送金しているアドレスと同じ文字で始まり同じ文字で終わるキーペアを見つけ出します。数文字を一致させるのは安価ですが、それが厄介な点です。イーサリアムのFusakaアップグレードで手数料が下がった後、ある分析では、攻撃者が約5,175ドルで300万回の送金を行ったことが判明しました。この価格であれば、ポイズニングは強盗ではなく、まるで工場のように効率的に実行できます。
ステップ2:取引履歴を改ざんする
次に、攻撃者はあなたの取引履歴に、以前に扱ったことのあるアドレスのように見える偽のアドレスを仕込みます。攻撃者は、実際のトークンを少量送ったり、ゼロ額の送金を仕掛けたり、偽のトークンを送りつけたりするかもしれません。いずれにせよ、目的は同じです。偽のアドレスを、同じ先頭と末尾の文字を持つ本物のアドレスの隣に、あなたの取引履歴に表示させることです。
ステップ3:コピー&ペーストの落とし穴
そして彼らは待ちます。次にいつもの受取人に送金する際、手軽さを優先して、最近の取引履歴からアドレスをそのままコピーします。表示されている文字は一致しており、何もおかしいところはなく、送金します。無意識のうちに行うと、意図したアドレスではなく、似たようなアドレスに誤ってトークンを送ってしまう可能性があります。ブロックチェーンは送金を正しく実行しますが、送金先が間違っています。これがアドレスポイズニングが「コピー&ペーストの罠」と呼ばれることがある理由であり、初心者だけでなく、慎重で経験豊富なユーザーにも簡単に効果を発揮する理由です。この攻撃が効果的なのはタイミングです。ポイズニングのエントリは、実際の取引から数分以内に挿入されることが多く、偽のアドレスは、本物のアドレスがあると予想される場所に正確に配置されます。あなたは不注意というよりは効率的に行動しているだけであり、その効率性こそが攻撃者が狙っているものなのです。
住所汚染の3つのタイプ
カーネギーメロン大学が2025年に実施した学術研究では、現実世界のサイバー攻撃を3つの形態に分類しました。これらの形態は、偽のアドレスがどのように仕込まれるかによって異なり、それによって履歴の中で何を信用すべきでないかが変わってきます。
| タイプ | 偽の住所がどのように仕込まれるか | 兆候 |
|---|---|---|
| 微細な(塵)の転写 | 類似のアドレスから送られた、実際のごくわずかな金額 | 些細な、予期せぬ入金 |
| ゼロ価値の移転 | トークンが「0」であっても、転送イベントが履歴に記録されます。 | 送信者として自分のアドレスを表示します(値0)。 |
| 偽造トークン | 本物のトークンを模倣した偽の契約(偽造されたUSDTまたはUSDC) | トークン名は正しいようですが、コントラクトアドレスが間違っています |
3つのうち、ゼロ値送金は、自分のアドレスから送金されたように見えるため、人々を最も混乱させるアドレスポイズニングの亜種です。これは、一部のトークンコントラクトでは、所有者の許可なしに誰でもゼロトークンの「送金」イベントを発行できるため、攻撃者がウォレットに忠実に表示されるエントリをスクリプト化できるためです。歴史的に、BNBスマートチェーンは手数料が低かったため、イーサリアムよりもはるかに多くの試みを受けていましたが、Fusakaの手数料引き下げにより状況が逆転し、活動の大部分がイーサリアムに移行しました。
住所毒殺で盗まれる金額はいくらですか
アドレスポイズニングは、一見すると些細な誤差のように思えるかもしれませんが、実際に合計してみると深刻な問題であることがわかります。以下の数値は意図的に日付を記載しています。なぜなら、仮想通貨の世界では数値の変動が激しく、昨年の合計値では問題の深刻さを過小評価してしまうからです。
| ケースまたは尺度 | 額 | いつ | 結果 |
|---|---|---|---|
| カーネギーメロン大学/USENIX研究(ETH + BSC) | 2億7000万件の試行、8380万ドルの損失、1700万人の被害者 | 2022年7月~2024年6月 | これまでで最大規模の研究 |
| ラップされたビットコインクジラ | そっくりさんに約6800万ドルが送金されました | 2024年5月 | 資金は返還された。攻撃者は約149万ドルを稼いだ。 |
| USDTの被害者1名 | 4990万ドル | 2025年12月 | トルネード・キャッシュを通じて資金洗浄された |
| イーサリアムの損失(ScamSniffer) | 6200万ドル | 2025年12月から2026年1月 | 2ヶ月合計 |
これらの事例のうちいくつかは、注目に値する。 2024年5月に約6800万ドルを失いかけたラップドビットコインの被害者は、攻撃者が(資金洗浄と交渉の後)大部分を返還し、約149万ドルを持ち去ったため、実際に資金を取り戻すことができた。捜査官は後に、この単一のキャンペーンが82,031の偽装アドレスに関連付けられていることを突き止めた。これほど幸運な人はほとんどいない。 2025年12月に4990万ドルのUSDTの被害者は、資金がTornado Cashに消えてしまい、返還も救済措置もなかった。
本当に心配なのは、その傾向です。Fusakaアップグレードでイーサリアムの手数料が引き下げられた後、ネットワーク上での月間ポイズニング試行は5倍以上に急増し、2026年1月には、 シティがイーサリアムの1日280万件のトランザクションの記録は、実際の経済利用ではなく、ポイズニングスパムによって大きく左右されていると指摘しました。2026年初頭までに、業界の推定では累積損失は約5億ドルに達しました。私を不安にさせるのは、詐欺の巧妙さではなく、そのコストです。数千ドルの手数料で何百万もの試行が可能になり、攻撃者はそのうちの1つが成功すれば良いのです。
ポイズニング vs スプーフィング vs IPポイズニング
「ポイズニング」という言葉は、非常に多様な攻撃を指すため、区別することが重要です。ここで取り上げるアドレスポイズニングとは、偽のアドレスを履歴に残す暗号通貨詐欺のことです。アドレススプーフィングはより広義で、通常はメッセージやトランザクションの送信者を偽装して他人になりすますことを意味します。そして、人々が誤って検索することもある「IPポイズニング」は、ARPやDNSキャッシュポイズニングといったネットワーク攻撃を指し、暗号通貨ウォレットとは全く関係ありません。同じ動詞でも、それぞれ全く異なる世界を指すのです。
住所中毒から身を守る方法
アドレスポイズニングに対するほぼ全ての防御策は、たった一つのルールに集約されます。それは、自分の取引履歴を決して信用せず、そこからアドレスをそのままコピーしないことです。偽のアドレスは、まさにあなたがそこを探すからこそ存在しているのです。この考え方を習慣づければ、攻撃はほぼ完全に阻止できます。
住所全体を確認してください。姓と名だけを確認しないでください。
文字列全体、または少なくとも中央と両端の十分な範囲をチェックしてください。攻撃者は最初と最後の数文字を簡単に照合できますが、中央の長い文字列を照合するのははるかに困難です。最新のウォレットのほとんどはEIP-55チェックサム規格に準拠しており、新しい表示方法ではアドレスのより多くの部分が強調表示されるため、不一致を見つけやすくなっています。
アドレス帳を使用し、履歴からコピーしないでください。
信頼できる情報源から確認した後、各受取人のアドレスを一度保存し、それ以降は最近の取引からアドレスをコピーするのではなく、保存した連絡先から送金するようにしてください。MetaMaskなどのウォレットではこれを「連絡先」と呼びますが、原理はどこでも同じです。保存したエントリは、受信送金によって改ざんされることはありません。これがこの方法の最大のポイントです。
テスト取引、ハードウェア画面、および支払い許可リスト
高額の送金の場合は、まず少額のテスト送金を行い、受取人アドレスが正しいことを確認してから残りの金額を送金してください。数セントの手数料は、7桁の金額を誤って送金してしまうリスクに対する安価な保険となります。ハードウェアウォレットもこの点で役立ちます。ハードウェアウォレットは、コンピュータ上のマルウェアが密かに書き換えることができない別の画面に実際の送金先を表示するからです。頻繁に仮想通貨の支払いを行う企業は、アドレスを一日中コピー&ペーストし、多くの場合、ポイズニングについて聞いたこともないスタッフにその作業を任せているため、特にリスクにさらされています。そのため、支払いを事前に承認された許可リスト(システムが逸脱しない、検証済みの固定された送金先リスト)に制限することで、人為的ミスの可能性を完全に排除できます。ゲートウェイ経由で仮想通貨の支払いを受け付けている場合は、まさにこの理由から、ゲートウェイが既に引き出しアドレスを固定しているかどうかを確認してください。
ウォレットと取引所が行っていること
ツールは進化を遂げていますが、上記の習慣に取って代わるものではありません。Etherscanのようなブロックエクスプローラーは、ゼロバリューの送金を非表示にしたりフラグを付けたりして、履歴が散らからないようにしています。Ledger LiveとTrezor Suiteは疑わしいエントリをフィルタリングし、2026年3月にはTrust Walletが32のチェーンでアドレスポイズニング対策を自動で展開しました。中央集権型取引所も独自のリスクを抱えています。ユーザーが同じ入金アドレスを繰り返し使用するため、ポイズニングされたエントリは同様に大きな損失につながる可能性があります。しかし、これらの対策も万全ではありません。執念深い攻撃者は、まだ検出されていないフィルターをすり抜けて、新しい類似のエントリを送り込むことができるため、ツールは完全な免責ではなく、あくまでも安全マージンを提供するものです。これらの機能はすべて、自身の注意深さを支える安全網として捉え、決して自身の注意深さの代替として考えないでください。
誰が標的になるのか、そしてそこから得られる教訓は?
不注意な初心者だけがこの手口に引っかかると思いがちですが、データは正反対を示しています。最大の損失を被るのは、頻繁に送金を行い、確認せずに素早く送金する習慣を身につけた、経験豊富な送金者や企業です。アドレスポイズニングは実行コストが安く、成功すれば効果は絶大で、ほとんどすべての人が共有する習慣に基づいて構築されているため、詐欺として非常に根強く残っています。この問題の真の解決策は、認識することです。なぜなら、罠の存在を知っていれば、完全なアドレスを確認するというたった一つの行為で、罠は解除されるからです。本当の問題は、あなたがこの詐欺を理解しているかどうかではなく、午前2時に携帯電話で、これまで何百回も送金したことのある相手に送金しているときに、それでもこの詐欺に気づけるかどうかです。
