警戒！悪意のエーテルウォレット拡張がSuiマイクロトランザクションを通じてシードフレーズを盗む

ブロックチェーンセキュリティプラットフォームSocketは2025年11月13日に報告を発表し、「Safery: イーサリアム ウォレット」という悪意のあるChrome拡張が独自の攻撃手法でユーザーのニーモニックフレーズを盗むことを暴露した。この拡張はChrome Web Storeの「イーサリアム ウォレット」検索で4位にランクインしており、BIP-39ニーモニックフレーズをSuiブロックチェーンアドレスにエンコードして0.000001 SUIのマイクロトランザクションを送信することでデータ漏洩を完了させる。報告が発表された時点で、この拡張は9月29日にアップロードされて以来ダウンロード可能であり、ゼロのユーザーコメント、文法の誤りがあるブランド情報、Gmail開発者アカウントなどの特徴はユーザーに高い警戒を促すべきである。

悪意のある延長ルートとクローキング戦術

「Safery: イーサリアムウォレット」悪意のある拡張機能は2025年9月29日にChrome Web Storeにアップロードされ、検索エンジン最適化戦略を通じて「イーサリアムウォレット」というキーワードの検索結果で4位に急上昇しました。これはMetaMask、Wombat、Enkryptなどの正当なウォレットに次ぐ位置です。攻撃者は拡張アイコンと説明を巧妙にデザインし、正規のウォレットに似た青調のインターフェースと「安全で信頼できる」といった宣伝用語を使用しましたが、ブランド名の「Safery」というスペルミス（正しくはSafety）が最初の識別標識となりました。

拡張ページ情報が表示され、開発者の連絡用メールアドレスがGmailの無料アカウントであり、専門的な企業ドメインではない；拡張説明に多くの文法エラーが存在する；最も重要なのは、この拡張が45日間のオンライン期間中にユーザー評価を一切得られなかったこと——これらの特徴の組み合わせは典型的なマルウェアの赤信号を構成します。Googleの公式ポリシーによれば、Chromeウェブストアは拡張を自動的に安全スキャンするべきですが、明らかにこの新しい攻撃手法は検出メカニズムを回避することに成功しました。11月13日現在、Googleはまだこの拡張を削除しておらず、最新の更新記録では攻撃者が11月12日にもコードの最適化を行っていたことが示されています。

データ窃取メカニズムの技術原理分析

従来のマルウェアがコマンド制御サーバーを使用してデータを転送するのとは異なり、この拡張機能は極めて巧妙なブロックチェーンデータ漏洩技術を採用しています。ユーザーが新しいウォレットを作成するか、既存のウォレットをインポートすると、拡張機能は完全なBIP-39シードフレーズをキャプチャし、特定のアルゴリズムを使用して12または24の単語のニーモニックフレーズを一見正常なSuiブロックチェーンアドレスにエンコードします。エンコードが完了すると、拡張機能は攻撃者が制御するウォレットからこれらの偽造アドレスに0.000001 SUI（約0.000001ドル）のマイクロトランザクションを送信します。

Socketセキュリティ研究者のKirill Boychenkoは、この技術が本質的に公共ブロックチェーンをデータ転送層に変えることを説明しました。攻撃者はSuiチェーン上の取引を監視するだけで、受取人のアドレスから元のシードフレーズを逆解読できます。取引金額が非常に小さく、通常のトラフィックに混在しているため、一般ユーザーにはほとんど気づかれません。さらに危険なのは、この攻撃が従来のネットワーク監視ツールに依存していないことです。データの漏洩は合法的なブロックチェーンRPC呼び出しを通じて行われるため、ファイアウォールやウイルス対策ソフトウェアは通常、これらの行動をマークしません。

悪意のある拡張攻撃の特徴のまとめ

拡張名：Safery: エーテル ウォレット

アップロード日時：2025年9月29日

最終更新日:2025年11月12日

Chromeストアランキング：第4位（「イーサリアムウォレット」を検索）

攻撃手法：シードフレーズをSuiアドレスにエンコードする

取引金額: 0.000001 SUI

窃取目标：BIP-39ニーモニックフレーズ

識別特徴：ゼロコメント、文法エラー、Gmail開発者アカウント

現在の状態：まだダウンロード可能（11月13日まで）

ユーザー識別と防止措置ガイド

一般のユーザーは、このような悪意のある拡張機能を識別するために、いくつかの重要な原則に従う必要があります。まず、公式のチャネルからかつ多数の実際の評価がある拡張機能のみをインストールしてください。MetaMaskは1000万人以上のユーザーと4.8の評価を持っていますが、悪意のある拡張機能は通常、評価の数が少ないです。次に、開発者の情報を慎重に確認してください。正規のプロジェクトは企業のメールアドレスと専門のウェブサイトを使用し、無料のメールアドレスは使用しません。第三に、ブランドの一貫性に注意してください。スペルミスや拙劣なデザインは、しばしば危険信号です。

操作面で、安全専門家は多層防護戦略を採用することを推奨しています。新しい拡張機能をインストールする前に、VirusTotalなどのツールを使用して拡張機能のIDをスキャンしてください。定期的にインストールされた拡張機能の権限の変化を確認してください。ハードウェアウォレットを使用して大口資産を保管し、ブラウザ拡張機能に秘密鍵を保存しないようにしてください。感染が疑われるユーザーは、直ちに資産を新しく作成した安全なウォレットに移し、システムを完全にスキャンする必要があります。Koi Securityは、ユーザーがすべてのブロックチェーン取引を監視することを補足して推奨しており、特に異常な金額の出金は、攻撃者がアクセス権をテストしている可能性を示すものです。

セキュリティ業界の対応と検知技術の進化

この新しいタイプの攻撃に直面して、セキュリティ企業は特定の検出ソリューションを開発しています。従来のドメイン、URL、または拡張IDに依存した検出方法はもはや十分ではなく、攻撃者は完全に合法的なブロックチェーン基盤を利用しています。Socketが提案した新しいソリューションには、ブラウザ内での予期しないブロックチェーンRPC呼び出しの監視、ニーモニックフレーズのコーディングパターンの識別、および合成アドレス生成行動の検出が含まれています。特に、ウォレットの作成またはインポート中に発生する出金取引は、金額に関係なく高リスク行為と見なされるべきです。

技術的な観点から見ると、この種の攻撃を防ぐには、ブラウザメーカー、安全会社、そしてブロックチェーンプロジェクトの協力が必要です。Chromeウェブストアは、拡張コードの静的および動的分析を強化する必要があり、特にブロックチェーンAPI呼び出しの審査が重要です。セキュリティソフトウェアは、特徴ライブラリを更新し、無許可のシードフレーズの外部送信行為を悪意のあるものとしてマークする必要があります。ブロックチェーンプロジェクトも、ノードレベルで異常な取引パターンを検出することを検討できますが、これは分散型の理念と一定の対立をもたらす可能性があります。

ブロックチェーンセキュリティ脅威の進化の歴史

2017年のフィッシングサイトによる秘密鍵の盗難から、2021年のトロイの木馬プログラムによるクリップボードアドレスの置き換え、さらには現在のマイクロトレーディングデータの漏洩に至るまで、ブロックチェーンのセキュリティ脅威は絶えず進化を続けています。この合法的なブロックチェーンネットワークを通じてデータが漏洩する手法は新たなトレンドを示しています——攻撃者はブロックチェーンの改ざん不可能性と匿名性を攻撃ツールとして利用しています。従来の攻撃と比較して、この方法はC&Cサーバーを維持する必要がなく、攻撃者の身元を追跡することが難しく、データ転送プロセスは完全に「合法」です。

歴史的データによると、ウォレットのセキュリティ事件による資産損失は毎年10億ドルを超えており、その中でブラウザ拡張に関連する事件の割合は2023年の15%から2025年には30%に上昇しています。この増加は攻撃者の戦略の変化を反映しています。ハードウェアウォレットの普及に伴い、コールドウォレットへの直接攻撃が難しくなるため、相対的に防御が薄いホットウォレットの拡張にターゲットが移行しています。注目すべきは、最近の複数の悪意のある拡張がMetaMaskのUIデザインを模倣していることですが、微妙な違いは識別可能です。

個人デジタル資産セキュリティのベストプラクティス

デジタル資産の安全を確保するために、ユーザーはシステム化されたセキュリティ習慣を確立する必要があります。まず、階層的なストレージ戦略を採用します：日常の少額取引にはモバイル軽量ウォレット、中程度の金額にはブラウザ拡張とハードウェア署名を組み合わせ、大額資産にはマルチシグ冷ウォレットを使用します。次に、操作の分離を実施します：ウォレット関連の操作を行う専用デバイスを作成し、日常のウェブブラウジングと混同しないようにします。第三に、定期的にセキュリティ監査を実施します：承認記録、取引履歴、拡張権限を確認します。

企業ユーザーには、従業員がインストールしたブラウザ拡張機能を追跡し、ブロックチェーン取引の警告メカニズムを設定する専用のセキュリティ監視システムを展開することをお勧めします。大口送金は複数の承認を要求し、受取アドレスは確認プロセスを経る必要があります。さらに、定期的に従業員に対してソーシャルエンジニアリング攻撃のトレーニングを行い、フィッシングメールや偽のウェブサイトの認識能力を向上させます。技術的な観点からは、スマートコントラクトウォレットの使用を検討し、毎日の制限額と信頼できる連絡先メカニズムを通じて単一障害点のリスクを低減します。

業界のコラボレーションと規制対応のニーズ

このようなセキュリティ脅威を解決するには、業界全体の協力が必要です。ブラウザーベンダーは、ブロックチェーンAPIにアクセスする拡張機能に特別な審査を実施し、より厳格な拡張機能の審査プロセスを確立する必要があります。セキュリティ企業は脅威インテリジェンスを共有し、悪意のある拡張機能の特徴ライブラリを構築する必要があります。ブロックチェーンプロジェクトは、プロトコルレベルで取引タグ機能を追加し、ユーザーが疑わしいアドレスをブラックリストに登録できるようにすることを検討できます。

規制の観点から、各国は暗号ウォレットアプリに対する規制要件を強化する可能性があり、コード監査の強制、開発者の身元確認、保険の保障が含まれます。EUのMiCA規制はウォレットプロバイダーに基本的な要件を提示していますが、実施の詳細はまだ整備されていません。長期的には、業界は伝統的金融と同様の詐欺検出および資金回収メカニズムを確立する必要がありますが、これは暗号資産の分散型特性と天然の緊張関係があります。

セキュリティの展望

攻撃者がブロックチェーン自体を攻撃手段として利用し始め、マイクロトランザクションがデータ漏洩のチャネルとなるとき、私たちが直面するのは技術的な課題だけでなく、理念の革新でもあります。この新しい攻撃手法の恐ろしさは、その複雑さにあるのではなく、「ブロックチェーン取引は安全である」という認識を覆すことにあります。暗号の世界が主流に向かう道のりにおいて、安全性は常に最も脆弱な環境です——今日の「Safery」事件は、私たちにコードを信頼するだけでなく、システム的な検証メカニズムを構築する必要があることを思い出させます。結局のところ、デジタル資産の世界において、安全性は機能ではなく、基盤なのです。