BTC

学ぶ

ビットコインのアドレスが勝手に書き換わる?クリップボード乗っ取りマルウェアの手口と防ぎ方

ビットコインのアドレスが勝手に書き換わる?クリップボード乗っ取りマルウェアの手口と防ぎ方
写真: Satheesh Sankaran / CC BY 2.0

結論

コピーした送金先ビットコイン アドレスが貼り付けた瞬間に別物へ書き換わるのは、あなたのタイプミスではなく「クリップボード乗っ取り(クリッパー/clipboard hijacker)」と呼ばれるマルウェアの典型的な手口です。これはクリップボード(コピー内容を一時保存する領域)を常時監視し、暗号資産アドレスらしき文字列を見つけた瞬間に攻撃者のアドレスへ静かにすり替えるものです。ブロックチェーンの送金は取り消せないため、気づかず送金すれば資産はほぼ回収不能になります。防御の要は「送金前に、貼り付けたアドレスの全桁を画面で照合する」ことと、感染端末そのものを疑うことです。

この記事のポイント

- クリッパーはクリップボードを約0.5秒間隔で監視し、コピーしたアドレスを攻撃者のものへ自動置換する

- すり替え先は「先頭・末尾が似たアドレス」が選ばれるため、両端だけの確認では見抜けない

- 防御は多層で ―― QR/アドレス帳・全桁照合・少額テスト送金・ハードウェアウォレット画面での最終確認

- 兆立ったら送金を止め、端末をスキャン・初期化する。すでに送金済みなら原則取り戻せない

クリップボード乗っ取りとは ―― コピペを狙う「静かな泥棒」

暗号資産の送金では、長く複雑なアドレスを手入力せず「コピー&ペースト」で貼り付けるのが一般的です。クリッパー型マルウェアはこの習慣を逆手に取ります。セキュリティ企業やMicrosoftの分析によれば、この種のマルウェアはクリップボードの中身を約500ミリ秒(0.5秒)ごとにチェックし、ビットコインやイーサリアムなどのアドレス形式に一致する文字列を検知した瞬間、攻撃者が用意したアドレスへ置き換えます。

ユーザーの画面には何のエラーも出ません。ウォレットの動作も普段どおりで、パソコンが重くなることもありません。長く潜むほど攻撃者が儲かるため、あえて目立たないよう設計されているのが特徴です。カスペルスキーが2017年に報告した「CryptoShuffler」は、この手口だけで約23BTC(当時のレートで約14万ドル相当)を盗み出しました。仕組みが単純なぶん、いまも亜種が作られ続けています。

これは詐欺全般の一種でもあります。手口の全体像はビットコイン詐欺の見分け方と対策も併せて確認してください。

なぜ「両端チェック」では見抜けないのか

多くの人はアドレス確認を「先頭数文字と末尾数文字だけ」で済ませます。攻撃者はまさにここを突きます。Fortinetの解析では、あるクリッパーは1万件もの攻撃者アドレスをあらかじめ用意し、コピーされた本物のアドレスと「先頭・末尾の文字がなるべく一致するもの」を選んで差し替えていました。

つまり bc1qxy...k4h9 を確認したつもりでも、中間の数十桁が丸ごと別物になっている可能性があるのです。だからこそ、確認は「全桁照合」でなければ意味がありません。

多層防御 ―― どれか1つでなく、重ねて守る

単一の対策に頼らず、複数を組み合わせるのが鉄則です。

防御策何を防ぐか手間推奨度
全桁照合(コピー元と貼り付け先を1文字ずつ突き合わせ)すり替えの発見必須
QRコード読み取りで宛先を入力クリップボード経由の改ざん回避
ウォレットのアドレス帳に登録済み宛先を使う毎回のコピペを排除低(初回のみ)
少額テスト送金 → 着金確認 → 本送金全額喪失の回避高(高額時)
ハードウェアウォレット本体画面で宛先を確認PC/スマホ側改ざんの最終防波堤

送金操作そのものの基本手順はビットコインの送り方を参照してください。QRコードやアドレス帳を使えば、そもそもクリップボードを経由しないため、すり替えの入り込む余地を大きく減らせます。

YMYLの注意

本記事は教育目的の情報であり、投資助言でも「絶対安全」の保証でもありません。ブロックチェーン上で確定した送金は、送信者側・取引所側の判断で巻き戻すことは原則できません。誤送金からの回復可能性は極めて限定的です(間違ったアドレスに送った場合の対処)。「送る前」の確認だけがほぼ唯一の確実な防御だと考えてください。

ハードウェアウォレット画面での「最終確認」の意味

ハードウェアウォレットを使っていても、送金先アドレスの入力はPCやスマホの母艦アプリ側で行います。もし母艦がクリッパーに感染していれば、この時点で宛先はすり替わり得ます。

ここで効くのが、ハードウェアウォレット「本体の画面」に表示される宛先です。署名の直前、本体画面に出るアドレスは、感染したPCではなく安全なデバイス内部で処理された値です。PC画面と本体画面のアドレスを全桁で突き合わせ、一致して初めて物理ボタンで承認する ―― この一手間が、母艦感染時の最後の砦になります。本体画面を見ずにボタンを押す癖は、ハードウェアウォレットの利点を自ら捨てる行為です。

感染の兆候と駆除

クリッパーは目立たないよう作られていますが、次のような兆候があれば疑ってください。

  • コピーした暗号資産アドレスが、貼り付けると微妙に(または大きく)違う
  • 見知らぬUSBメモリを挿した後から挙動がおかしい(USB経由で拡散する亜種が確認されています)
  • 出所不明のショートカット(.lnk)ファイルや実行ファイルを開いた記憶がある

対処の基本は次のとおりです。

  1. まず送金を止める。 疑いがある間は一切の暗号資産送金をしない。
  2. 信頼できるセキュリティソフト(Windows Defender等)でフルスキャンし、検出物を隔離する。
  3. 駆除しきれない・不安が残る場合はOSを再インストール(初期化)する。
  4. その端末で入力したことのある取引所パスワードを変更し、二段階認証を再設定する。感染端末はシードフレーズを盗む亜種もあるため、シードを打ち込んだ疑いがあれば新しいウォレットへ資産を移す。

なお、感染だけでなく偽サイト経由でアドレスや鍵を抜かれるケースも多発しています。あわせて偽取引所・フィッシングの手口も確認しておきましょう。

よくある質問

Q. スマホでも起きますか? はい。Android等でも同種のクリッパーアプリが確認されています。公式ストア以外からのインストールを避け、送金前の全桁照合はスマホでも必ず行ってください。

Q. コピー後すぐ貼れば安全ですか? 安全とは言えません。監視間隔は0.5秒程度とされ、コピーから貼り付けまでの一瞬でも置換され得ます。速さではなく「貼った後の照合」で守ります。

Q. すでに攻撃者のアドレスへ送ってしまいました。取り戻せますか? 原則として取り戻せません。ブロックチェーンの送金は取り消せず、攻撃者アドレスの持ち主も特定困難です。取引所を経由した場合のみ、早期の連絡で凍結の可能性がわずかに残ります(誤送金の対処)。

Q. どのアドレス形式が狙われますか? 古い形式(1から始まる)を狙う亜種もあれば、複数通貨・複数形式に対応する亜種もあります。形式を問わず全桁照合を習慣化してください。

参考・出典

投資にあたっての注意

本記事は情報提供を目的としたものであり、投資助言ではありません。暗号資産は価格変動やハッキング、紛失等のリスクがあります。投資判断はご自身の責任で、余裕資金の範囲で行ってください。税制・規制は変更される場合があるため、最新情報は必ず公式の一次情報をご確認ください。

Sources

  1. CryptoShuffler Trojan has quietly stolen $140,000 worth of Bitcoin ― Kaspersky
  2. Copy-Pasting Thief: clipboard clipper analysis ― Fortinet Threat Research
  3. Microsoft warns new crypto clipper malware can steal seed phrases and hijack wallet transfers ― AMBCrypto
  4. Sure, I'll take that! New ComboJack Malware Alters Clipboards to Steal Cryptocurrency ― Palo Alto Unit 42
  5. クリップボード・ハイジャッカーとは ― サイバーセキュリティ.com

FAQ

スマホでもクリップボード乗っ取りは起きますか?
はい。Android等でも同種のクリッパーアプリが確認されています。公式ストア以外からのインストールを避け、送金前の全桁照合はスマホでも必ず行ってください。
コピー後すぐ貼り付ければ安全ですか?
安全とは言えません。マルウェアの監視間隔は0.5秒程度とされ、コピーから貼り付けまでの一瞬でも置換され得ます。速さではなく『貼った後の全桁照合』で守ります。
すでに攻撃者のアドレスへ送ってしまいました。取り戻せますか?
原則として取り戻せません。ブロックチェーンの送金は取り消せず、攻撃者アドレスの持ち主も特定困難です。取引所を経由した場合のみ、早期連絡で凍結の可能性がわずかに残ります。
どのアドレス形式が狙われますか?
1から始まる古い形式を狙う亜種もあれば、複数通貨・複数形式に対応する亜種もあります。形式を問わず全桁照合を習慣化してください。
佐藤 健一
  • 暗号資産アナリスト
  • ビットコイン取材歴9年
  • 元金融メディア記者

2016年からビットコインを取材・解説。半減期、マイニング、各国規制、自己管理(セルフカストディ)に明るく、初心者にわかる説明を重視。

本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。