資産を守る リスクの予防｜Web3.0資産セキュリティガイドライン2025

Author: CertiK Chinese Community

2024年はウェブ3.0の世界に新たなチャンスの波をもたらしたが、多くの潜在的な危機も表面化した。CertiKが新たに発表した「Hack3d: 2024 Annual Security Report」のデータによると、この1年間で合計760件が発生した。CertiKの最新の「Hack3d: 2024 Annual Security Report」のデータによると、1年を通して760件のオンチェーンセキュリティインシデントが発生し、その損失総額は23億6000万ドルに上った。その中でも、フィッシング攻撃は損失のほぼ半分を引き起こし、前年比31%増となり、ユーザー資産のセキュリティに影響を与える最大の脅威の1つとなっています。

このような状況において、フィッシング攻撃にいかに効果的に対処するかは、すべてのWeb 3.0ユーザーとプロジェクトが注意を払わなければならない問題になっています。この記事では、フィッシング攻撃を防ぐ方法について説明し、核となる保護戦略をマスターし、デジタル資産のより強固なセキュリティ障壁を確立する手助けをします。

フィッシング攻撃に気をつける：識別と予防

フィッシング攻撃はますます巧妙になっており、もはや不審な電子メールだけにとどまりません。今日、ハッカーはWeb 3.0ユーザーを騙し、デジタル資産を盗むためにさまざまな手口を使います。

• Spear Phishing:これは高度に標的を絞った攻撃です！.攻撃者は信頼できる個人や団体になりすまし、ユーザーに機密情報を漏らしたり、手の込んだ詐欺でアクセスを許可させたりして、デジタル資産を盗みます。この攻撃は、多くの場合、高度にカスタマイズされた信頼できる偽装によって被害者の信頼を得る、非常に欺瞞的なものです。

• 分散型アプリケーションフィッシング（DApp Phishing）：攻撃者は偽の分散型アプリケーション（DApp）を作成し、ユーザーを騙してウォレットに接続させます。ユーザーが承認すると、攻撃者はアクセス権を得て窃盗を完了することができます。この攻撃は、分散型アプリに対するユーザーの信頼と、新しい技術に不慣れであることを利用しています。

• ソーシャルメディアアカウントへの侵入：ウェブ3.0空間のKOLやプロジェクト組織のソーシャルメディアアカウントがハッキングされる可能性があります。ハッカーはこれらのアカウントを使って、偽の情報を投稿したり、詐欺やフィッシングリンク、偽の景品を宣伝したりして、フォロワーを欺きます。これらのアカウントは通常、フォロワー数が多いため、この攻撃は広く拡散し、ユーザーの資産とブランドの評判の両方に深刻な損害を与える可能性があります。"text-align: left;">フィッシング攻撃を効果的に防ぐために、ユーザーは常に警戒し、以下の対策を講じる必要があります:

  • URLとスマートコントラクトの真正性を確認する。コントラクトの真正性：取引を行う前に、Etherscan[1]、Bscan[2]、Solscan[3]などのブロックチェーン・ブラウザ・プラットフォームを使用してアドレスの正当性を必ず確認してください。偽のアドレスはあなたの資産をハッカーのコントロールに導く可能性があるため、このステップは非常に重要です。

  

  • Authorise Transactions Carefully:自分自身が開始したものでない取引は、決して承認したり認可したりしないでください。トランザクションを承認する前に、情報の正確性を再確認し、送信元アドレスと宛先アドレスの両方が信頼できるものであることを確認します。このステップにより、ハッカーが不正な取引を承認して資産を盗むことを効果的に防ぐことができます。

  

  • Revoke questionable permissions:付与されたパーミッションに懸念がある場合、ユーザーはrevoke.cash[4]などのツールを使ってDAppに付与されたパーミッションを取り消すことができます。不必要なパーミッションをタイムリーに取り消すことで、潜在的なセキュリティリスクを減らすことができます。

  • 不審なリンクに気をつける：プライベートメッセージで送られてくるリンクは決してクリックしないようにしましょう。ハッカーはしばしば偽のインターフェースや不正なURLを使ってユーザーを騙します。ハッカーが仕掛けた罠に入らないよう、安全でないURLや不審なURL、偽のSSL証明書、不明な送信元からのリンクを常にチェックしましょう。

  コールドウォレットの使用：デジタル資産の隔離された保護

  コールドウォレットは、プライベートキーを完全に隔離して安全に保管するオフラインのウォレットです。安全に保管します。これは専用の物理的なデバイスで、ユーザーは秘密鍵を公開することなく取引に署名することができます。ホットウォレットとは異なり、コールドウォレットは遠隔地の攻撃者にいつでもアクセスされることを許さないため、攻撃されるリスクを効果的に低減することができる。コールドウォレットのこの特徴は、長期保管のニーズや使用頻度の低い資産の保全に理想的です。オンライン上のサードパーティへの依存を避け、デジタル資産のセキュリティを大幅に向上させることができます。

  しかしながら、コールドウォレットは確実な保護策ではありません。デジタル通貨のセキュリティには、何重もの保護が必要です。例えば、ユーザーはマルチシグネチャ認証や二重認証（2FA）を追加して、ウォレットのセキュリティをさらに強化することができます。これらの対策により、ユーザーは様々な潜在的脅威に対してより強固なセキュリティ防御を効果的に構築することができます。

  ソーシャルメディアのセキュリティ：偽装詐欺に注意

  ソーシャルメディアプラットフォームでは、ハッカーが有名人を装ったり、偽のアカウントを作成したりしてユーザーを狙うことがよくあります。詐欺を行うことがあります。最も一般的な詐欺には、偽の「プレゼント」キャンペーンがあり、一定の金額を支払うことで高額な報酬を約束することが多い。その他の手口としては、プライベート・メッセージの送信、フィッシング・リンク、偽の協力約束などがある。詐欺師は、切迫感を利用して被害者によく考えずに行動を起こさせ、罠にはまることがよくあります。

  

  さらに、ユーザーはTelegramやDiscordのようなプラットフォームに現れる詐欺ディスカッショングループに注意する必要があります。これらのグループは、偽の情報を広めたり、Web 3.0プロジェクトの公式チャンネルを模倣したフィッシングリンクを共有したりする可能性があります。

  プライベートメッセージの無効化:大規模な共有グループのメンバーからのプライベートメッセージを無効にし、未承諾のやりとりに注意することをお勧めします。これにより、詐欺師から直接連絡を受ける可能性を効果的に減らすことができます。

  公式チャンネルをフォローする：プロジェクトに関する情報を追跡するときは、認証された公式アカウントのみをフォローし、公式ウェブサイトから直接来る発表を優先しましょう。これにより、偽の情報に惑わされることを効果的に避けることができます。

  個人情報の保護：ウォレット関連のスクリーンショットや個人情報をソーシャルメディアで共有することは絶対にやめましょう。これらの情報は詐欺師によってフィッシング攻撃に使用される可能性があり、ユーザーの身の安全を脅かす可能性もあります。

  セキュリティの知識：自己防衛の向上

  セキュリティの知識は、Web 3.0の世界でデジタル資産を保護する鍵の1つです。CertiKSkynet[5]は、詳細な監査レポートだけでなく、Skynetに要約されたキーポイントを見ることで、プロジェクトの信頼性を理解し、プロジェクトコードのリスクをチェックすることができます。

  

  一方、Skynet Questは、インタラクティブな学習を通じて、秘密鍵の保護、安全な取引所の選択、デジタル通貨を盗むツール（クリプト・ドレイナー）の識別など、Web 3.0セキュリティの中核となる知識を習得するのに役立ちます。これらのツールやリソースにより、ユーザーはセキュリティ意識を向上させ、さまざまなリスクに備えることができます。

  

  さらに、利用者は新しい詐欺について学び、認識し続ける必要があります。最新のイベントアラートとセキュリティ統計の最新情報を入手するには、X[6]で@certikalertをフォローし、CertiKの公式ウェブサイト[7]に掲載されている最新のセキュリティイベント分析を読むことができます。継続的に学習し、知識を更新することで、ユーザーは刻々と変化するサイバーセキュリティの脅威に的確に対応し、デジタル資産を安全かつ確実に保護することができます。