最近、Coinbase、Gemini、Trust Walletといった主要な暗号資産プラットフォームのユーザーを狙った、新たなフィッシング攻撃「PoisonSeed」の事例が確認されています。この攻撃の巧妙さは、従来の常識を逆手に取った点にあります。多くのフィッシング詐欺がユーザーから既存の「シードフレーズ」（ウォレットのマスターキー）を聞き出そうとするのに対し、PoisonSeedは攻撃者側から「新しい安全なシードフレーズ」を提供するのです。

「アカウントを保護するために、このシードフレーズを使用してください」といった、一見親切な指示。しかし、これこそが巧妙に仕組まれた罠の入り口です。特に、暗号資産の扱いにまだ慣れていないユーザーや、緊急性を煽る偽の警告に動揺してしまったユーザーが、この「助け舟」に乗りやすい傾向があります。

これまで「シードフレーズは誰にも教えてはいけない」という注意喚起が一般的でしたが、PoisonSeedの登場により、「提供されたシードフレーズも安易に信用してはいけない」という新たな警戒が必要になりました。まさに「親切な顔をした狼」とも言えるこの手口は、サイバー犯罪者がいかにユーザー心理を巧みに操り、既存のセキュリティ対策を回避しようとしているかを示しています。

本稿では、このPoisonSeed攻撃の具体的な仕組み、どのような影響があるのか、そして私たちユーザーがどのように身を守るべきかについて解説します。

※関連記事：コインベースにおける大規模ソーシャルエンジニアリング被害とその対応について（備忘録）

PoisonSeed攻撃の巧妙さを理解するためには、まず「シードフレーズ」（リカバリーフレーズとも呼ばれます）が暗号資産ウォレットの文脈で何を意味するのかを明確に把握する必要があります。シードフレーズとは、ランダムに生成された12から24の単語のセットであり、暗号通貨ウォレットを復元しアクセスするために使用されます。これは、いわば「デジタル金庫のマスターキー」のようなものです。

その主な機能は、デバイスの紛失や侵害が発生した場合に、秘密鍵を生成し、ウォレットへのアクセスを回復することです。シードフレーズはウォレットのバックアップとして機能し、秘密鍵の管理におけるセキュリティの本質を体現しています。最も重要な点は、この単語のシーケンスにアクセスできる人物は誰でも、それに関連付けられた暗号資産を管理できてしまうということです。

通常、シードフレーズはユーザー自身のウォレットソフトウェアによって生成され、極秘に保管されるべきものです。正規のウォレットサービスがメールやSNSでシードフレーズを尋ねることは決してありません。このユーザーが自ら生成し管理するというシードフレーズの設計思想こそが、PoisonSeed攻撃者が巧みに悪用するポイントです。攻撃者は、誰がこのフレーズを生成すべきかというユーザーの理解を覆すことで、罠を仕掛けるのです。

PoisonSeed攻撃は、従来のフィッシング詐欺とは一線を画す、巧妙な手口を採用しています。その攻撃プロセスは、被害者を心理的に追い込み、誤った安心感を与えることで資産を窃取するというものです。

攻撃は通常、被害者がCoinbase、Gemini、Trust Walletといったプラットフォームのアカウントに関するテキストメッセージやEメールを一方的に受信することから始まります。図1はRedditに投稿されたPoisonSeed攻撃の典型的なフィッシングメールです。これらのメッセージは、