メタマスクで絶対に
やってはいけない5つのこと。
2026年の詐欺事例から学ぶ
『自己防衛』の極意
2026年1月、恵比寿のカフェ。
夜の窓に雨粒が当たる音がしていた。
スマートフォンに届いたメールのタイトルを、私は二度読みした。
「Action Required: Secure Your Wallet with 2FA」。
送信者は「MetaMask Support」と表示されていた。
手が、一瞬止まった。
MetaMaskが2FA認証を義務化する——そう書いてあった。リンクが貼ってあった。あと少しでタップするところだった。だが私は、URLを見た。`2fa.mertamask.com`。
「metamask」ではなく「mertamask」。たった2文字の入れ替えだった。
その夜、私は自分がどれだけ無防備だったかを、改めて思い知った。
雨の夜、届いた偽MetaMaskメール──一瞬の油断がすべてを奪う(イメージ)
目次
1. 信じた画面と消えた確信
2025年の春。知人の40代経営者が、Discordで「MetaMaskサポート担当者」を名乗るアカウントに声をかけられた。「ウォレットに問題が検出された」と言われ、画面共有を求められた。親切な口調だった。指示に従ってMetaMaskの設定画面を開いた瞬間、相手はシードフレーズの入力を求めてきた。
銀座のラウンジで、彼は静かに言った。「全部で320万円分だった」
画面の向こうで起きていたことを、後から調べた。MetaMaskのサポートを装ったアカウントが、ソーシャルエンジニアリングで被害者を誘導する手口——これは2025年から急増した詐欺パターンだ。
MetaMaskサポートを装った典型的なフィッシング警告──シードフレーズを絶対に教えない(イメージ)
やってはいけないこと①:SNSやDiscordの「サポート担当者」にシードフレーズを伝える
MetaMaskの公式サポートは、シードフレーズを尋ねることが絶対にない。それを求めてくる者は、例外なく詐欺師だ。
2. 1文字の油断が招いた喪失
2026年1月5日。ブロックチェーンセキュリティ企業SlowMistが、Xで緊急警告を発した。
詐欺は「MetaMask Support」を名乗る偽装メールから始まり、件名は「Action Required: Secure Your Wallet with 2FA」。メール本文では2FAが2026年4月1日までに義務化されると偽り、リンク先のURLは正規ドメイン「metamask.io」ではなく「2fa.mertamask.com」という偽ドメインだった。「metamask」の「e」と「a」を入れ替えた巧妙な手口だ。
特にモバイルブラウザではURL全体が表示されないため見分けがつきにくく、偽サイトではカウントダウンタイマーや警告メッセージで心理的圧力をかけ、最終的に「2FAセキュリティ確認」の名目でシードフレーズの入力を求める。
私はその夜、自分のメール受信箱を確認した。同じメールが届いていた。発見が遅れていれば、私もその被害者になっていた。蛍光灯の白い光の下で、背中に冷たいものが走った。
偽サイト例──URLの微妙な綴りミス(mertamaskなど)に注意(イメージ)
やってはいけないこと②:メールのリンクからMetaMaskにアクセスする
MetaMaskは2FA機能を提供しておらず、シードフレーズの入力を求めること自体が詐欺の証拠。MetaMaskへのアクセスは必ずブックマーク(`metamask.io`)からのみ行う。
3. 丁寧に確認する男の習慣
目黒のコワーキングスペースで、47歳のセキュリティコンサルタントが言った。「詐欺師が怖いのは、手間をかけて確認する人間だけです」
やってはいけないこと③:Google検索の広告リンクからMetaMaskをインストールする
Google ChromeやSafariなどのブラウザで「メタマスク」と検索すると「スポンサー」の文字がついた偽サイトが表示されることがあり、本物のMetaMaskがリスティング広告を使用するとは考えづらいため、スポンサー表示のリンクは開かないようにする必要がある。
やってはいけないこと④:スマートコントラクトへの「無制限承認」をそのままにする
DAppやサイトのスマートコントラクトに資金への無制限のアクセス許可を与えてしまうことが、資産流出の主要原因のひとつだ。revoke.cashで定期的に承認済みコントラクトを確認し、使っていないものは即座に取り消す。手間をかけるメリットが、ここに集約されている。
「この4つを守るだけで、普通のユーザーが遭う詐欺の9割は防げます」
彼がそう言った後、少し間があった。
「問題は、9割の人がこの手間を省くことです」
revoke.cashで不要な承認を定期的に取り消す──これで9割のリスクを防げる(イメージ)
4. 習慣になった5分間
①ブラウザのMetaMaskのURLが`metamask.io`であること
②拡張機能IDが`nkbihfbeogaeaoehlefnkodbefgpgknn`であること
③新しいDAppに接続する前にコントラクトアドレスをEtherscanで確認すること
④月に一度revoke.cashで不要な承認を削除すること
⑤シードフレーズはオフラインの紙にのみ保管し、デジタルデバイスには一切存在しないこと
やってはいけないこと⑤:シードフレーズをデジタルデバイスに保存する
スクリーンショット、メモアプリ、クラウドストレージ、メール——これらすべてがハッキングの対象になりうる。シードフレーズ(リカバリーフレーズ)はウォレットのマスターキーであり、これがあれば資金を自由に送金され、別のデバイスでウォレットを復元され、関連するすべての秘密鍵を完全に支配される。
物理的な紙に手書きし、耐火ケースに保管する。遠回りに見えるその選択が、唯一の正解だ。
シードフレーズは紙に手書きし、耐火ケースへ──デジタル保存は絶対NG(イメージ)
5. 止まれた夜の静けさ
2026年1月の夜、私は「mertamask」のメールを削除した。焦りはなかった。URLを確認する習慣があったからだ。2025年の暗号資産フィッシング被害額は前年比約83%減の約84億ドルとなったが、2026年初頭にはミームコインの急騰や小口投資家の復調を受けて攻撃者も再び動き始めている。
市場が活況になるほど、詐欺師も活発になる。それは変わらない原理だ。
だが手間をかけて確認する習慣を持つ人間だけが、その波に飲まれない。紳士がスーツのボタンを毎朝確認するように、私はMetaMaskのURLとシードフレーズの保管場所を、今夜も確認する。
5つの「やってはいけない」を今日、確認する
| 順位 | やってはいけないこと | 理由・対策 |
|---|---|---|
| ① | SNS・Discordのサポート担当者にシードフレーズを伝えない | 公式は絶対に聞かない。100%詐欺 |
| ② | メールのリンクからMetaMaskにアクセスしない | ブックマークから直接。2FA義務化は嘘 |
| ③ | Google検索の広告リンクからインストールしない | スポンサー表示は偽物。公式サイトから |
| ④ | スマートコントラクトへの無制限承認をそのままにしない | revoke.cashで定期チェック・取消 |
| ⑤ | シードフレーズをデジタルデバイスに保存しない | 紙に手書き、耐火保管のみ |
今夜できることは一つだけでいい。
受信箱を開き、「MetaMask」という件名のメールが届いていないか確認する。もし届いていたら、送信元のメールアドレスが`@metamask.io`で終わっているかを見る。それだけだ。
詐欺師は手間を省く人間を狙う。
手間をかける人間だけが、資産を守り続ける。
