ソーシャルメディアプラットフォーム「X」は、初めて暗号資産に言及したアカウントを自動的にロックする新たな詐欺防止キルスイッチを導入する予定だ。この措置は、偽の著作権侵害メールを悪用したフィッシング攻撃の増加を受け、プラットフォーム上の暗号資産関連詐欺を抑制するための最新の取り組みである。

Xは、乗っ取られたアカウントを用いて詐欺トークンを宣伝するのが一般的な暗号資産フィッシング対策として、この新たなセキュリティ機能を準備している。同社のプロダクト責任者ニキータ・ビア氏は、まもなく暗号資産に初めて言及したアカウントを自動的にロックし、再投稿できるようになるには追加の認証プロセスを経る必要があると説明した。

ビア氏は、この機能が現在拡大するフィッシング攻撃の主要なインセンティブを断つことを目指していると述べている。具体的には、ユーザーを騙して認証情報を奪い、そのアカウントを使って暗号資産詐欺を推進する手口に対応し、「これでインセンティブの99％は潰せるはずだ」とコメントしている。

今回の対策は、著作権侵害通知を装ったフィッシングメールにだまされアカウントの管理権を失ったユーザーからの詳細な一次体験の報告を受けて明らかになった。このユーザーによると、攻撃者は本物と見分けがつかないほど巧妙な偽ログインページで二要素認証コードを盗み出し、その後ユーザーを締め出してアカウントから詐欺的な暗号資産プロジェクトを宣伝し始めたという。

X上の暗号資産詐欺

この種の攻撃はX上で非常に一般的であり、同プラットフォームがイーロン・マスク氏に買収される前、まだTwitterと呼ばれていた時代から継続している問題である。最も多い詐欺の一つが「送った暗号資産を倍に返す」といった手口で、より多くの暗号資産が受け取れるという誘い文句で送金を促すものだ。他にも、偽のミームコインや不正なエアドロップの宣伝があり、しばしば乗っ取られたアカウントが信頼性を演出するために使われる。

なりすましも強力な手口の一つで、著名人を装った偽アカウントが正規の暗号資産プラットフォームに似せた悪質なリンクをフォロワーにクリックさせる事例が繰り返されている。暗号資産取引は取り消しができないため、こうした攻撃に遭ったユーザーは資金を戻せないリスクが高い。

最も悪名高い事例は2020年に発生し、内部システムへの侵入によりApple、バラク・オバマ氏、イーロン・マスク氏ら著名アカウントが乗っ取られた。ハッカーらはこれらのアカウントから偽のビットコイン詐欺を宣伝し、投稿削除前に10万ドル超の資金を騙し取った。この事件はTwitter社員へのソーシャルエンジニアリングによるもので、犯人は懲役5年の判決を受けている。

Xはこれまでにもボット排除、API制限、行動検知など複数のセキュリティ強化策を実施してきた。今回の、「初めて暗号資産に言及したアカウントを自動ロックする」措置はこれらの対策をさらに推進し、乗っ取られたアカウントによる詐欺行為を根本から断つことを目指している。

またビア氏は、フィッシングメールの段階で阻止できていない点についてGoogleを批判し、フィッシング攻撃からユーザーを守れなかった責任の一部はこの大手テック企業にもあると指摘している。