BTC

学ぶ

ビットコインのダスティング攻撃とは?身に覚えのない少額BTCが届く理由と正しい対処法

ビットコインのダスティング攻撃とは?身に覚えのない少額BTCが届く理由と正しい対処法
写真: FlippyFlink / CC0

結論

ビットコインのダスティング攻撃とは、攻撃者が「ダスト」と呼ばれる極小額のBTC(数百サトシ程度)を大量のウォレットアドレスに送りつけ、受け取った人がそのダストを他の資金と一緒に送金した瞬間に、複数のアドレスを同一人物のものとして名寄せし、匿名性を剥がす攻撃です。 重要なのは、ダストが届いただけでウォレットが乗っ取られたり資金が抜き取られたりすることはない、という点です。攻撃はあくまで「追跡・分析」が目的であり、届いたダストを送金に混ぜず、触らずに放置することが最も確実な防御になります。この記事では、ダストの定義と手数料閾値、名寄せの仕組み、そしてcoin control(コインコントロール)による具体的な守り方までを解説します。

この記事のポイント

- ダスティング攻撃は資金を盗む攻撃ではなく、匿名性を剥がすための追跡攻撃である

- 「ダスト」とは、送金手数料を下回るほど小さい使い道のない極小UTXOのこと(目安:非SegWitで546サトシ、ネイティブSegWitで294サトシ)

- 危険が生じるのは、ダストを他の資金と一緒に送金(co-spend)したときだけ

- 防御は「触らない」+ウォレットのcoin control / UTXOロックでダストを送金対象から外すこと

ダスト(dust)とは何か

「ダスト」とは、金額があまりに小さく、送るための手数料の方が高くついてしまう、実質的に使い道のないビットコインの残高(UTXO)を指します。ビットコインの多くのソフトウェアは、これ以下の額は「使えない/送れない」とみなす下限=ダスト・リミット(dust limit)を持っています。

閾値はアドレス(トランザクション)の形式によって異なります。以下は一般的な目安です(ネットワーク混雑や設定で変動します。最新は各ウォレット・公式で確認してください)。

トランザクション形式ダスト閾値(目安)
レガシー / 非SegWit約 546 サトシ
ネイティブSegWit(bech32)約 294 サトシ
Pay to Anchor(新形式)約 240 サトシ

※1サトシ=1億分の1BTC。546サトシは日本円で数円〜十数円程度(価格により変動)にすぎません。

なぜアドレス形式でダストの閾値が変わるのかは、ビットコインのアドレスの種類の記事で解説しています。

なぜ「身に覚えのない少額BTC」が届くのか

ある日ウォレットを開くと、送った覚えのない極小額のBTCが着金している——これがダスティング攻撃の入口です。攻撃者は取引所や解析会社、あるいは悪意ある第三者で、数千〜数万のアドレスに一斉にダストをばら撒きます。この時点では、あなたは「ばら撒かれた対象の一人」でしかなく、まだ実害はありません。

攻撃者の狙いは、ダストを受け取ったアドレスのその後の動きを、公開されているブロックチェーン上でひたすら監視することです。

攻撃の原理:ダストで匿名性を剥がす「名寄せ」

ビットコインはUTXO(未使用トランザクションアウトプット)というモデルで残高を管理しています。送金するとき、ウォレットは手元にある複数のUTXO(過去に受け取ったお金の断片)を組み合わせて支払いを作ります。

ここに落とし穴があります。あなたが普段バラバラに使っている複数のアドレスに、それぞれダストが撒かれていたとします。あるとき、支払いのためにウォレットが自動でダストを含む複数のUTXOを1つの送金にまとめて使う(co-spend)と、ブロックチェーン上には「これらのアドレスは同じ財布から支払った=同一人物のものだ」という強い証拠が残ります。これをアドレスクラスタリング(名寄せ)と呼びます。

1つの送金で使われたインプットは同じ持ち主のものである可能性が非常に高い、という前提(common-input-ownership heuristic)を使い、攻撃者は分断されていたはずのあなたのアドレス群を1つの塊に束ね、さらに取引所への入金などから実名や身元に結びつけようとします。名寄せが進むと、資産規模が推定され、フィッシングや脅迫、標的型詐欺の的にされる恐れがあります。

同じアドレスを使い回すこと自体がこうした追跡を容易にします。詳しくはアドレスの使い回しとプライバシーを参照してください。

注意

届いたダストは「送金に混ぜて動かした瞬間」に初めて危険になります。 ダストが着金しただけでは秘密鍵が漏れることも資金が抜かれることもありません。あわてて他の資金と一緒に別アドレスへ「掃き出そう」とすると、それこそが攻撃者の狙い通りの名寄せを自分から成立させてしまいます。本記事は教育目的の情報であり、投資助言ではありません。

届いたダストを触ってはいけない理由と、正しい対処

1. 触らない(co-spendしない)

最もシンプルで確実な防御です。ダストを送金・両替に一切使わなければ、攻撃者はあなたのアドレスを他のアドレスと結びつけられません。放置しても資金が減ることはありません。

2. coin control / UTXOロックで送金対象から外す

Bitcoin Core、Sparrow Wallet、Electrum、一部のハードウェアウォレット連携アプリなどは、coin control(コインコントロール)機能を備えており、送金時に「どのUTXOを使うか」を手動で選べます。ダストのUTXOに「使わない(Do Not Spend / Freeze / ロック)」の印を付ければ、以後の自動送金で誤って混ぜてしまう事故を防げます。

3. アドレスを使い回さない

受け取りのたびに新しいアドレスを使う運用(HDウォレットの標準動作)は、そもそも名寄せの材料を減らします。

4. ウォレット構成を分ける

用途ごとにウォレットを分離しておくと、万一ダストを混ぜても被害範囲を限定できます。安全な保管の考え方はビットコインの保管方法で解説しています。

重要

ダストに紛れて「無料でトークンを受け取った、請求はこちらのサイトで」といったメモ(OP_RETURN)やNFT風の入金が付いてくることがあります。これはフィッシング誘導です。記載されたURLやDAppに絶対に接続せず、ウォレットを繋がないでください。ダスティングは正規の追跡目的だけでなく、詐欺サイトへの誘導とセットで使われることがあります。

ダスティング攻撃と他の脅威の違い

項目ダスティング攻撃ハッキング/秘密鍵漏洩
目的匿名性の剥奪・追跡・詐欺誘導資金そのものの窃取
着金時点の被害なし(追跡の準備段階)直接的な資金流出
危険が生じる瞬間ダストをco-spendしたとき秘密鍵・シードが漏れた時点
主な防御触らない・coin controlシード厳重管理・コールドウォレット

このように、ダスティング攻撃は「資産が消える」タイプの攻撃ではなく、プライバシーを侵害するタイプの攻撃です。だからこそ「あわてて動かさない」という一見受け身な対応が最善手になります。

よくある質問

Q. 届いたダストは盗まれる前触れですか?急いで移した方がいい? A. いいえ。ダストが届いただけでは秘密鍵は漏れず、資金は抜かれません。むしろ急いで他の資金と一緒に動かすと名寄せが成立し、攻撃者を利します。原則は「放置」です。

Q. ダストを取引所に送って現金化してもいい? A. おすすめしません。取引所への送金はダストと自分の他の資金・本人確認済み口座を結びつけ、匿名性を大きく損ないます。使いたい場合もcoin controlでダストを混ぜないようにしましょう。

Q. ダストを完全に消す(削除する)方法はありますか? A. ブロックチェーンの記録は削除できません。ダストのUTXOをウォレット上で「ロック/Do Not Spend」に設定し、送金に使わないことで実質的に無害化するのが現実的な対応です。

Q. どのウォレットでもcoin controlは使えますか? A. いいえ。Bitcoin Core・Sparrow・Electrumなどは対応しますが、一部のスマホウォレットは非対応です。プライバシーを重視するなら、UTXO選択(coin control)に対応したウォレットを選ぶのが安全です。

参考・出典

Sources

  1. Binance Academy — What Is a Dusting Attack?
  2. Bitcoin.org GitHub Issue #592 — Dust limit is listed as 546 satoshis
  3. Gemini Cryptopedia — Crypto Dust and Dusting Attacks Explained
  4. Halborn — What Is a Dusting Attack?
  5. 99Bitcoins — What is a Crypto Dusting Attack? Guide

FAQ

届いたダストは盗まれる前触れですか?急いで移した方がいい?
いいえ。ダストが届いただけでは秘密鍵は漏れず、資金は抜かれません。むしろ急いで他の資金と一緒に動かすと複数アドレスの名寄せが成立し、攻撃者に匿名性を剥がされます。原則は放置です。
ダストを取引所に送って現金化してもいいですか?
おすすめしません。取引所への送金はダストと自分の他の資金・本人確認済み口座を結びつけ、匿名性を大きく損ないます。使う場合もcoin controlでダストを送金に混ぜないようにしてください。
ダストを完全に削除する方法はありますか?
ブロックチェーンの記録は削除できません。ウォレット上でダストのUTXOを『ロック/Do Not Spend』に設定し、送金に使わないことで実質的に無害化するのが現実的な対応です。
どのウォレットでもcoin controlは使えますか?
いいえ。Bitcoin Core・Sparrow・Electrumなどは対応しますが、一部のスマホウォレットは非対応です。プライバシー重視ならUTXO選択(coin control)対応ウォレットを選びましょう。
佐藤 健一
  • 暗号資産アナリスト
  • ビットコイン取材歴9年
  • 元金融メディア記者

2016年からビットコインを取材・解説。半減期、マイニング、各国規制、自己管理(セルフカストディ)に明るく、初心者にわかる説明を重視。

本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。