セキュリティ研究者は、ユーザーにウォレットのリカバリーフレーズの入力を促すように見えるCoinbase Commerceのページについて警鐘を鳴らしています。この出来事は、シードフレーズを利用したフローが、特に信頼できるプラットフォームと関連付けられた場合に、フィッシング詐欺で常用される行動を正常化させる可能性があるとの懸念を再燃させました。
この議論は、ブロックチェーンセキュリティ企業SlowMistの創設者であり、セキュリティ界隈で著名なYu XianがX(旧Twitter)上でこのページに注目したことから始まりました。彼は、Coinbaseがホストするページが平文のニーモニックフレーズを資産回復のために求める理由を疑問視し、その行為を許し難いセキュリティの過失と表現しました。
Coinbaseは、このページの起源について公式に説明しておらず、「調査中である」とだけ述べています。同社はCointelegraphに対し、問題を調査しているが、公開時点で詳細は提供できないと回答しました。Yu Xianからの返答はなく、Cointelegraphも彼からのコメントを受け取っていません。
暗号コミュニティでは、シードフレーズはセルフカストディのウォレットの鍵とみなされています。これを共有すると、攻撃者に完全なアクセス権を渡すリスクがあり、互換性のあるウォレットに保存された資産を完全にコントロールできるためです。ガイドラインは明確です:シードフレーズを第三者、カスタマーサポート、信頼できないウェブサイトに絶対に開示してはいけません。
出典:Yu Xian(Cos)
Coinbaseは、サブドメインを「出金ツール」として言及
暗号調査コミュニティのメンバーであるZachXBTは、Coinbaseの公開ヘルプドキュメントにこのページが記載されていることを指摘しました。彼は、そのガイドが、Coinbase WalletやMetaMaskなどの互換性のあるウォレットにシードフレーズをインポートして資金を回復する方法を説明しているようだと述べ、同じサブドメイン上にホストされている出金ツールに注目しました。
この内容は、Coinbaseのヘルプ資料に記載されたセルフカストディのウォレットに関する記述によって裏付けられています。これらのウォレットは、Coinbaseがシードフレーズにアクセスできず、紛失した場合に資金を回復できないことを意味します。しかし、今回のページがシードフレーズの入力を促す内容と一致していることから、疑問が生じています。
「つまり、Coinbaseには公式のページがあり、攻撃者がそれを利用してシードフレーズのソーシャルエンジニアリング攻撃を仕掛けることができるってこと?」
この一文は、X上のZachXBTが共有したもので、ページが正当なものであったり誤設定されていたりした場合、公式のルートと誤認させてフィッシングの手口に利用される可能性を示しています。この事件は、ユーザー教育、プラットフォームの信頼性、セルフカストディのワークフローの複雑化の交差点に位置しています。
なぜこれがユーザーと開発者にとって重要なのか
シードフレーズは、セルフカストディのセキュリティの要です。公式の文脈であっても、こうした情報を気軽に求めるページは、ウォレット提供者やセキュリティ研究者が広く推奨するベストプラクティスに反します。ユーザーにとっては、正規のブランドと偽装されたプロンプトを組み合わせたソーシャルエンジニアリングのリスクが高まります。開発者や取引所にとっては、リカバリーや相互運用性の機能を提供しつつ、新たな攻撃面を露出させない微妙なバランスが求められます。
セルフカストディのウォレットは、ユーザーが秘密鍵やリカバリーフレーズを直接管理しますが、その責任も伴います。信頼できるポータルが誤ってまたは意図的にニーモニックデータを求める場合、資産リスクや紛失時にユーザーは従ってしまう誘惑に駆られることがあります。したがって、この事件は、ユーザーフレンドリーでありながら操作に抵抗できるリカバリーフローの設計に関する議論を呼び起こしています。
Coinbaseの対応と今後の展望
Coinbaseはこの問題を認識し、調査中であるとしていますが、詳細は公開されていません。同社は以前から、シードフレーズをウェブサイトに貼り付けることを避けるようユーザーに助言しており、また、Commerceのウォレットはセルフカストディであると強調しています。つまり、Coinbaseはシードフレーズにアクセスできず、紛失した場合の資金回復もできません。この事件は、該当ページが公式の機能だったのか、誤設定だったのか、あるいはCommerceに関するドキュメントのセキュリティギャップだったのかについて疑問を投げかけています。
また、Coinbaseはフィッシングやソーシャルエンジニアリングの警告を積極的に発信しており、詐欺師が電話やオンラインでカスタマーサポートを装い、ログイン情報や認証コードを盗もうとするケースに注意を促しています。ユーザーには、XやRedditの公式チャネルを通じてサポートを受けるよう推奨しています。今後の展開には以下の点が含まれます。
セキュリティの全体像と背景
フィッシングやソーシャルエンジニアリングは暗号資産の世界で依然として広範なリスクであり、攻撃者は有名なブランドやサービスを巧みに利用して誘導を仕掛けています。例えば、OpenClawのフィッシング事件では、「無料トークン」などのメッセージと本物そっくりのインターフェースを組み合わせて被害者を騙す手口が明らかになっています。このような状況下では、リカバリーフローやクロスウォレットのインポートに関わる機能は、特に厳重な安全対策と明確なユーザー教育が求められます。Cointelegraphは以前、セキュリティ研究者がシードフレーズの露出に対して警戒を促していることを報じており、リカバリーデータは可能な限りプライベートかつオフラインで管理すべきだと強調しています。
今後注目すべきポイント
今後数日から数週間で、Coinbaseがこの問題にどう対処し、調査結果やドキュメントの修正を公表するかが明らかになるでしょう。注目すべき点は:
この事件を受けて、ユーザーと開発者の双方にとっての基本原則が再確認されます。それは、シードフレーズは非常に敏感な資産であり、一見正当なインターフェースであっても慎重に扱う必要があるということです。今後の道筋は、ユーザーコントロールを維持しつつ、新たな攻撃の機会を生まないより明確なリカバリーメカニズムの構築にかかっています。
この記事は、Crypto Breaking Newsの「Coinbase Commerceがシードフレーズを促し、セキュリティ上の懸念を引き起こした」内容として最初に公開されました。
