GoogleでUniswapを検索している暗号資産ユーザーが、またしてもおなじみの罠に陥っている。最新のUniswap フィッシング Google 広告の事例では、偽のスポンサーリンクが、ユーザーを本物そっくりのクローンサイトへ誘導することで、少なくとも40万ドルを詐取するのに使われたと報じられている。
このケースを際立たせているのは、その仕組みがいかにも「普通」に見える点だ。ユーザーが大手DeFiブランドを検索し、正規リンクの上に表示された広告をクリックし、ウォレットを接続し、トランザクションを承認する。その数瞬後、資産は消えている。
このパターンは、暗号資産の世界全体で危険なほど一般的になっている。一方でセキュリティ研究者たちは、このUniswapをテーマにしたキャンペーンは、検索結果に広がる偽の暗号資産広告やGoogle検索フィッシングサイトの、より大きな波の一部だと指摘している。
Summary
Google上の偽Uniswap広告で少なくとも40万ドルが流出か
偽Uniswapキャンペーンに関連する損失は、セキュリティ関係者が引用したオンチェーン報告によると、少なくとも40万ドルに達している。
オンチェーンアナリストのb-blockは、このオペレーションを146 ETHを保有する2つのウォレットアドレスに結び付けた。記事によれば、Etherscanのデータに基づき、これらのウォレットには当時合計で約30万6000ドルが保管されていたという。
Green Dotsの創設者であるStacy Muurは、フィッシング広告がGoogle検索において正規のUniswapリンクの上に配置されていたと述べた。彼女は偽のスポンサー結果を示すスクリーンショットも共有し、この種のGoogle検索フィッシングの根本的な問題を浮き彫りにした。すなわち、悪意あるリンクが本物より先に表示されてしまう点だ。
これは、検索結果の順位がユーザー行動を素早く変えてしまうため重要だ。暗号資産の世界では、ユーザーはウォレット接続やトークンスワップ、市場の動きへの追随などを素早く行うことが多く、たった一度の誤クリックが、日常的なアクセスをウォレット全体の侵害へと変えてしまう可能性がある。
フィッシングキャンペーンの手口
仕組みは単純だが効果的だった。セキュリティ報告によると、このキャンペーンは公式のUniswap掲載情報を模倣したGoogleのスポンサー検索広告に紐づいていた。ユーザーがクリックすると、Uniswapのインターフェースを精巧にコピーしたフィッシングページに誘導された。
そこから、罠はオンチェーンへと移行した。
攻撃者は悪意あるスマートコントラクトを使い、被害者に無制限の資産移転を承認させるよう仕向けた。一度その承認が行われると、詐欺師は資金を動かすのに秘密鍵を必要としない。承認そのものが扉を開いてしまうのだ。
実務的には、このウォレットドレイン詐欺はおなじみの手順に従っていた。
- 偽のスポンサー広告が正規のUniswap結果の上に表示される
- 被害者はクローンインターフェース上でウォレットを接続し、承認に署名する
- 悪意あるコントラクトが送金権限を獲得し、資産を抜き取る
これが、Uniswap フィッシング Google 広告の脅威が非常に効果的な理由の一つだ。これは伝統的な意味でウォレットへ侵入することに依存していない。その代わりに、ユーザーの信頼と、分散型アプリに組み込まれた通常の承認フローを悪用している。
セキュリティ団体が脅威拡大を指摘する理由
セキュリティ団体は数か月にわたり、偽の暗号資産広告は単発の事件ではなく、繰り返し利用される攻撃チャネルだと警告してきた。
SEALは以前、Google検索広告に紐づくフィッシングによって、3月13日から3月30日のわずか2週間強で127万ドル以上が盗まれたと述べた。同団体はまた、過去1年間で356件以上の悪意ある広告リンクをブロックしたとも述べている。
この規模からすると、問題はもはや一つのプロトコルに対するブランドなりすましにとどまらない。暗号資産の発見プロセスそのものに関わるインフラの問題になりつつある。もし主要なDeFiサービスが、ユーザーが最初に検索エンジンで見つける場所でなりすまされているなら、攻撃対象領域は、誰かがアプリに到達する前から始まっていることになる。
SEALによれば、攻撃者はGoogle広告を直接購入するか、あるいは正規の広告主アカウントを侵害して、主要なプロトコルや取引所を装う偽リンクを配信しているという。また同団体は、悪意ある行為者がしばしば正規企業より高い入札を行い、フィッシングページをスポンサー検索結果の最上位に押し上げているとも述べている。
なぜGoogle広告モデルは詐欺師にとって有用なのか
Google広告モデルが攻撃者にとって有効なのは、検索エンジンそのものの信頼を借用できるからだ。その結果、ユーザーは、特にUniswapのような見慣れた名前が使われている場合、スポンサー結果は安全だと想定してしまう可能性がある。
暗号資産の世界では、この信頼ギャップは特に危険だ。ユーザーは素早く行動することが多く、たった一度の承認でも、悪意あるコントラクトに資金を抜き取る権限を与えてしまうことがある。
Uniswapを超えて広がるパターン
今回のインシデントは、より広いトレンドの一部だ。
Scam Snifferは以前、あるユーザーが偽サイトによってUniswapのNFTで123万ドル以上を失ったと報告している。このケースでも、フィッシングページは本物のインターフェースをコピーし、承認後に資金を抜き取る悪意あるトランザクションフローを用いていたとされる。
PeckShield Alertもまた、Google検索結果に表示される偽Aave広告について警告している。つまり、問題は一つのトークン、一つの取引所、あるいは一つのキャンペーンに限定されていない。複数の認知度の高いDeFiブランドに影響が及んでいる。
セキュリティ研究者たちはまた、クローンインターフェースやPunycodeドメインが繰り返し使われる手口だと指摘している。これらの偽サイトは、特に有料広告や見慣れたブランド名と組み合わさると、本物とほとんど見分けがつかない場合がある。急いで行動しているユーザーにとって、その違いを見抜くのは難しい。
暗号資産ユーザーとDeFiプラットフォームにとっての重要性
この話は、一つのフィッシンググループを超えた問題だ。
より大きな問題は、検索広告が依然としてウォレットドレイン詐欺への直接的な入り口になっていることだ。暗号資産プラットフォームにとって、これは自らのシステムが侵害されていない場合でも、ブランドと信頼の問題を生む。ユーザーにとっては、プロトコルの公式サイトを検索するといった基本的な行為でさえ、隠れたリスクを伴うことを意味する。
また、なぜセキュリティチームがパスワードやシードフレーズだけでなく、承認に注目し続けているのかも説明している。多くの攻撃では、被害者は秘密鍵を渡しているわけではない。正規に見えるインターフェースを通じて、悪意ある送金を承認してしまっているのだ。
この違いは、暗号資産の盗難がどのように起こるかを変えるため重要だ。弱点はしばしばウォレットソフトそのものではなく、ユーザーがアプリケーションに到達するまでの経路にある。
検索を巡る攻防が暗号資産セキュリティの一部になりつつある
最新のUniswap フィッシング Google 広告キャンペーンは、暗号資産セキュリティが、検索での可視性、広告の掲載位置、ブランドなりすましと、いかに密接に重なり合うようになっているかを示している。
b-blockが146 ETHを保有する2つのウォレットに結び付けたことにより、このケースにはオンチェーン上の裏付けが与えられている。一方で、SEALが示したより広い数字は、依然としてセクター全体のユーザーを襲っている大きなトレンドを示している。Aaveに関する警告や、以前のUniswap関連の損失も加えれば、多くの攻撃者にとって、被害者探しはウォレットが接続されるはるか前から始まっているというメッセージは、見逃しようがない。
