メタマスク装う2FA詐欺が横行、シードフレーズ窃取で資金奪う──偽ドメイン注意

暗号資産（仮想通貨）ウォレット「MetaMask（メタマスク）」を装った精巧なフィッシング詐欺が横行している。ブロックチェーンセキュリティ企業スローミストが5日、X上で警告を発した。

偽ドメイン「mertamask.com」でシードフレーズ窃取

セキュリティ研究者の23pds（山哥）氏が同日、詐欺の全工程をスクリーンショット付きで公開している。詐欺は「MetaMask Support」を名乗る偽装メールから始まり、件名は「Action Required: Secure Your Wallet with 2FA」（対応必須：2FAでウォレットを保護）となっている。

メール本文では、2FA（二要素認証）が2026年4月1日までに義務化されると偽り、「期限後はウォレットの主要機能が制限される」と緊急性を演出する。リンク先のURLは正規ドメイン「metamask.io」ではなく、「2fa.mertamask.com」という偽ドメインだ。「metamask」の「e」と「a」を入れ替えた巧妙な手口である。

偽サイトは正規のメタマスクに酷似したデザインで、Cloudflareの認証ページまで模倣している。2FA設定を装いQRコードや認証コードの入力を求め、最終段階で「Final Security Verification」（最終セキュリティ検証）と称して12ワードのシードフレーズ入力を要求する。

シードフレーズ入力で資金が即座に盗まれる

スローミストは「シードフレーズを入力した瞬間、資金が盗まれる」と明言している。シードフレーズ（バックアップフレーズ）はウォレットの完全な制御権を持つ秘密鍵であり、これを第三者に渡すことはウォレットの全資産を引き渡すことと同義だ。

23pds氏は詐欺サイトの各段階を詳細に解説し、「騙されて本物のシードフレーズを入力してしまう人がいる」と警鐘を鳴らしている。

正規のMetaMaskは2FA義務化を発表していない

重要な点として、正規のメタマスクは2FA義務化を発表しておらず、電子メールでシードフレーズを要求することも絶対にない。正規ドメインは「metamask.io」のみであり、類似ドメインは全て詐欺サイトと判断すべきだ。

メタマスク利用者は以下の点に注意する必要がある。

• メールやメッセージのリンクを安易にクリックしない
• URLのドメインを必ず確認する（「metamask.io」以外は詐欺）
• シードフレーズは絶対に第三者と共有しない
• 公式サイトやアプリから直接アクセスする

暗号資産業界では、フィッシング詐欺による被害が後を絶たない。利用者は常に警戒し、怪しいメールやサイトには絶対にアクセスしないよう徹底する必要がある。

関連：テザー、詐欺グループからの1,200万USDT押収に貢献──タイ警察・米シークレットサービスと協力
関連：米国人の3人に1人が仮想通貨詐欺の被害経験──平均被害額は約50万円、AI悪用の合成ID詐欺は700%増