イーロン・マスク氏と YouTube 広告詐欺: 暗号通貨関連の動画で SpaceX と称する偽コイン販促に勧誘

YouTube を悪用し、暗号通貨関連の動画の再生前または再生中に表示される広告の一環として偽の SpaceX コインを宣伝して、人気の高い分散型金融プロトコルである Uniswap を通じて、ユーザーから 100 万米ドル近くを巻き上げることが予想される詐欺が発生しています。

背景

5 月の初め、Tesla と SpaceX の創設者であるイーロン・マスク氏がサタデイナイトライブに登場するよりも早く、詐欺師は Twitter と YouTube のアカウントを不正利用して一連の暗号通貨詐欺を宣伝し、 1,000 万米ドルを超えるビットコイン、イーサリアム、ドージコインのトークンを騙し取りました。 YouTube を介して行われた詐欺が最も成果を上げ、900 万米ドル超を窃取しました。

「トークン」と「コイン」は、両方ともビットコインやイーサリアム、ドージコイン、その他多くの暗号通貨を表す言葉として区別なく用いらています。

ある詐欺師のグループは 5 月末以降、YouTube の暗号通貨関連動画の広告スペースを購入して、マスク氏によって立ち上げられたと主張する偽の SpaceX コイン (あるいは $SpaceX トークン) を宣伝し、信用してしまったユーザーから 43 万米ドル超の暗号通貨を詐取しました。本ブログ記事が公開された時点で、この詐欺師グループは 1 つのキャンペーンを継続中であり、完了すれば詐取された暗号通貨の被害総額は 100 万米ドル近くまで増加する可能性があります。

分析

早くも 5 月 22 日の時点で、ユーザーの暗号通貨を騙し取るように作られた YouTube 広告が、暗号通貨の世界で有名なクリエイターによる暗号通貨関連の動画の再生前または再生中に表示されました。 広告では、ここ数か月の間、ビットコインやドージコインなどの暗号通貨を支持してきたことで注目を集めていたマスク氏の、暗号通貨とは無関係のさまざまな動画が取り上げられました。

テンプレートの解析

広告は 3 分から 5 分の長さで、そのテンプレートにはイーロン・マスク氏が $SpaceX という独自の暗号通貨を新たに立ち上げると主張する、同氏を騙る偽のツイートが最上部に表示されているという特徴があります。

同じテンプレートには説明のセクションもあり、見出しの Tesla のロゴが特徴的です。 説明には、「イーロン・マスク氏が独自の暗号通貨である $SpaceX を立ち上げます」とあります。 コインの目的は、詐欺広告の主張するところによれば「みんなを火星に連れて行き、火星で人類が生活できるようにする」ことです。 最後に、$SpaceX コインに関連する各取引に、「イーロン氏のミッションを支援する」ために「宇宙研究企業への」寄付が行われると付け加えられています。

上記の広告に埋め込まれた動画は、2013 年に行われた、コンピューター歴史博物館と KQED による「Revolutionaries」でのイーロン氏のインタビューから切り取られたものです。 詐欺師は YouTube 広告に、マスク氏のさまざまな動画を無作為に使用しています。

動画は不正利用された YouTube アカウント上にホストされている

このような広告は、侵害された YouTube アカウント上にホストされています。

広告が表示されると、広告に関連付けられているユーザーの名前を見ることができます。

このユーザーのプロフィールを見てみると、2011 年の 8 月に YouTube に登録しているようで、私が確認したアカウントの多くは、10 ～ 12 年前に作成されたものでした。 この例では、ユーザーが関連付けられていたのはこの詐欺広告に使用された動画だけでしたが、複数の場合もあるかもしれません。これらのアカウントは休止状態の YouTube アカウントである可能性が高く、詐欺師は巧妙な詐欺宣伝のためにアカウントを乗っ取ったようです。

私たちは YouTube に対して、本記事の公開前に調査結果を報告しましたが、回答はありませんでした。

過去の YouTube Live 詐欺キャンペーンでも同じテンプレートが使用された

広告のテンプレートは、私の見たところ、5 月初めの SNL をテーマとしたマスク氏を騙る詐欺で使用されていたものと Tesla のロゴも含めて同じです。

今回のアナウンスは、捏造された SpaceX コインが対象なので、Tesla のロゴを SpaceX のロゴに置き換えたものだろうと想像するのに、単にテンプレートに手を付けずに再利用したようです。

ユーザーは複数のウェブサイトに誘導される

YouTube 広告自体には、ウェブサイトへの直接のリンクは含まれていませんが、 ウェブサイトはテンプレートの別のセクションで宣伝されています。 分析期間中、同種の YouTube の詐欺広告で宣伝されているウェブサイトを少なくとも 12 個発見しました。以下がその一覧です。

注意: 上記のリスト以外にも同種のキャンペーンで使用されているドメインがある可能性があります。

ウェブサイトには、MetaMask のインストールと Uniswap の使用方法に関するステップバイステップのガイドが含まれている

キャンペーンに使用されたウェブサイトは、Telegram の匿名ブログプラットフォームである Telegra.ph を使用してデザインされていました。

ウェブサイトには、ユーザーに詐欺目的の $SpaceX コインを買わせるために、MetaMask をコンピューターにインストールする方法をステップバイステップで表示しています。MetaMask は、数百万人ものユーザーに利用されているブラウザーベースのウォレットです。偽の拡張機能ではなく、正規の Google Chrome MetaMask 拡張機能にリンク していることが検証で判明しました。

その次に、ウェブサイトはユーザーにカスタマイズされた Uniswap のリンクをクリックするよう指示しています。Uniswap は分散型金融 (DeFi) プロトコルの世界でよく利用されている 分散型取引所 (DEX) です。 DeFi プロトコルを使った Uniswap は、当事者をつなぐ中心的な事業体の介入なしで暗号通貨が交換 (スワップ) できる、分散型の取引が可能なプラットフォームです。同時に、中央に管理者が不在であることは詐欺行為が成功する理由の 1 つとなっています。

Uniswap は、個人が 独自のトークンを作成してプラットフォーム上で取引することが可能ですが、 この例では、詐欺師はユーザーを Uniswap にリンクして、自分たちが作成した詐欺目的の $SpaceX トークンコントラクトをインポートさせようとしています。

$SpaceX トークンをインポートしようとすると、Uniswap のインターフェースには「このトークンはアクティブなトークンのリストに存在しません」という警告が表示されますが、ユーザーには「このトークンで取引したい」ことを確認するよう注意するのみです。

ガイドには、ユーザーがイーサリアムのトークンを疑わしい $SpaceX コインと交換する方法を示す、数枚のスクリーンショットが含まれています。 さらに、コインが MetaMask ウォレットに表示されるようにする方法に関するガイダンスもあります。

偽の $SpaceX コインは少なくとも 3 つ流通している

私が遭遇した 12 のウェブサイト全体で、3 つの異なる $SpaceX コインのコントラクトが確認されました。 今回の調査期間中、7 つのサイトでは同じ $SpaceX トークンを指定していた (以下アルファと呼びます) のに対して、spxlaunch.com と salespacex.com の 2 つのサイトではそれぞれ別々の $SpaceX トークンコントラクトを指定していました (同じくベータ、ガンマと呼びます)。 しかし、アルファのキャンペーンは 6 月 13 日に終了したので、残っているサイトは現在ではガンマキャンペーンを指定しています。

Rug Pull (ラグプル) による持ち去り : ユーザーが最終的に価値のないトークンを掴まされる仕組み

従来型の暗号通貨詐欺では、ユーザーが暗号通貨を特定のアドレスに送付すれば、その価値が「2 倍」にできる (もちろんそのようなことは決して起こりません) とユーザーに誘いをかけます。しかし、今回の詐欺は非常に悪質で、 実在するトークンスマートコントラクト である Uniswap のような有名な DEX プラットフォームを使用することで正当さを演出し、ユーザーの MetaMask ウォレットにトークンが現れたことを目で見て確認させます。 この詐欺の手口はラグプルとして知られています。

詐欺目的の $SpaceX コインの取引を Uniswap 上のリストに載せて取引を促進させるためには、ある程度の流動資産を提供する必要があります。

詐欺師は上述の 3 つのトークンコントラクト全体で、合計 60 イーサリアムコイン (各コントラクト当たり 20 コイン) に相当する総額 146,300.44 米ドルを出資しています。

ユーザーが Uniswap でコインを購入するに従い、$SpaceX コントラクトの資産が増加します。活動の背後にいる詐欺師はある時点で、コントラクトから資産を引き抜きます。結果として、$SpaceX コインを所有しているユーザーの足元から「ラグ (絨毯) が引き抜かれ」、コインは無価値となります。

ハニーポット : ユーザーは詐欺目的の $SpaceX コインの購入によって囲い込まれる

アルファのコントラクトに関連付けられた $SpaceX コインを購入したユーザーが最近行った、投稿サイト Reddit の Uniswap カテゴリへの投稿によると、このユーザーは購入した $SpaceXコイン をイーサリアムに再変換できなかったようです。 これこそ、暗号通貨の世界でハニーポットとして知られている、もう 1 つの手口です。 この用語は、従来よりサイバーセキュリティ業界で使用されていた使い方である、攻撃者を罠にかけるという意味とは違い、暗号通貨のこの文脈では、一旦偽の $SpaceX コインへの投資に引き込まれて購入した $SpaceX コインをイーサリアムに還元できないようにコントラクトを設計したという意味です。 この場合、資金をコントラクトの外に移動することができるのは作成者のアドレスだけです。 したがって、たとえ詐欺師がすぐにラグプルしなかったとしても、その時点で $SpaceX コインを保有しているユーザーは資金を取り戻すことはできません。

詐欺師は故意にコントラクトからコインをバーン

今回の詐欺の $SpaceX コントラクトでは、作成時にコントラクト当たり 10 億 (1,000,000,000) コインが発行され、コントラクトに 2 億 (200,000,000) コインの仮想資産が付加されていました。また、Vb、Binance、Huobi のような有名な取引所のウォレットにコインを送付することにより、各コントラクト当たり 8 億 (800,000,000) の $SpaceX コイン がバーンされています。

どの取引所のリストにも詐欺目的の $SpaceX コインは登録されていないので、取引所のウォレットに送付されたコインは取り戻すことができず永遠に失われ、事実上、流通量から焼却 (バーン) されています。 詐欺師はコインのバーニングを通じて利用可能なコインの供給量を減らして $SpaceX コインの知覚価格を吊り上げているというのが私の理解です。

Etherscan のページに嘘のコメントが仕込まれた

イーサリアムネットワークに関する最も有名なブロックチェーン調査サイトの 1 つである Etherscan は、さまざまなイーサリアムのプロジェクトに関するアクティビティなどの情報を求めて、暗号通貨の熱狂的なファンがよく訪れる場所です。 詐欺目的の $SpaceX コントラクトの例では、詐欺師はこのページのコメント欄に嘘の口コミを仕込んでいました。

ページを嘘の口コミであふれさせた意図としては、$SpaceX コインが詐欺目的であるという正体を暴露するコメントがあっても、ノイズに埋もれてしまうようにすることです。

偽の $SpaceX コインのラグプルにより、詐欺師はこれまでに 43 万米ドルを稼いでおり、総額は 100 万米ドル近くになる可能性がある

私の遭遇した偽の $SpaceX コントラクト 3 つのうち、2 つは既にラグプルが完了しています。 以下のグラフは、詐欺師によって提供された仮想資産と、コントラクトから引き抜かれた資産の額、そしてその差額 (詐欺師が詐欺によって上げた利益) の内訳を示しています。

本ブログ記事が公開された時点では、アルファとベータのキャンペーンは終了しており、ガンマキャンペーンは継続中でした。 上記の数字には 2021 年 6 月 21 日までに収集されたデータが反映されていますが、清算後のアルファコントラクトとベータコントラクトに送付された追加の資金は含まれていません。

アルファトークンのキャンペーンは 5 月 22 日に開始して 6 月 13 日まで継続し、詐欺師は 403,000 米ドルを超える利益を上げました。 5 月 29 日から 6 月 9 日まで行われたベータトークンキャンペーンでは、詐欺師は 28,000 米ドル近くをだまし取りました。 6 月 9 日に開始され、本ブログ記事が公開された時点でも継続中のガンマトークンキャンペーンでは、既に大量のアクティビティが観測されており、詐欺師の利益は 543,000 米ドルと推定されます。 つまり詐欺師は、ガンマキャンペーンのラグプルによってさらに 6 桁の儲けを見込んでおり、窃取した暗号通貨の総額は 100 万米ドル近くに達することになります。

注意 : 詐欺師グループはおそらく、上記のコントラクトがより正当なものであるように見せかけるために、コントラクトに対してさらに多くの資金を送付していると考えられます。そのため、上記の金額は詐欺師グループの資金によって一部水増しされている可能性があります。

DeFi プロトコルではラグプルとハニーポットが横行している

イーサリアムの DeFi プロトコル (Uniswap と SushiSwap など) や、バイナンススマートチェーン (BSC) の DeFi プロトコル (Pancakeswap など) は、ブロックチェーンへの投資の新時代を牽引していますが、こうしたプラットフォームの分散化は、詐欺師を野放しにしています。 銀行のような従来の中央集権型の金融形態では、盗まれた資金が取り戻され、被害者に返金される可能性があります。しかしブロックチェーンでは、盗まれた資金は失われ、回収の見込みはほどんど、あるいは全くなく、それは、DeFi の世界ではプロトコルの利点の裏にある避けられない犠牲なのです。結果として、「ラグプル」や「ハニーポット」といった用語は DeFi 界隈で会話の一部となっています。

T今回取り上げたキャンペーンは、その宣伝をテレグラムのチャンネルやソーシャルメディアに頼らず、詐欺師が YouTube を通じて見出した成功の波に乗ったという点で、他とは一線を画しています。 その成功は、既存の YouTube 広告のインフラストラクチャを活用して標的となる暗号通貨ファンの年齢層を特定し、何千人もの視聴者をターゲットに広告を展開したことによります。暗号通貨への投資に新たに参入する投資家の多くは、ニュースやガイダンスの視聴を YouTube チャンネルに頼っているため、YouTube は偽のコインを売り込む経路として理想的です。

暗号通貨の熱狂的なファンが詐欺目的のコインから身を守る方法

DYOR を忘れない : 暗号通貨のファンであれば、DYOR という略語になじみがあるかもしれません。これは「Do Your Own Research」(自ら調査しなさい) の略です。 このフレーズは暗号通貨のコミュニティ内でよく繰り返されていますが、もっともな理由があってのことです。 どんな資産に投資する場合も同じですが、特に暗号通貨の世界では、投資する前に自ら調査することは非常に重要です。

DEX を利用する際は警戒すべき兆候を見つける : Uniswap や SushiSwap のような DEX は自律的に動作しますが、サービスとやり取りするユーザーにはいくつかの注意メカニズムを使用しています。

Uniswap では先に述べたように、詐欺トークンがアクティブなトークンリストにないという限定的な警告メッセージが表示されます。 また、コントラクトのアドレスを表示する際に、「Unknown Source」(不明なソース) というバナーも追加されます。ユーザーはトークンコントラクトのインポートや、自分の暗号通貨との交換を実行する前にこのような表示が現れた場合、警戒信号として捉える必要があります。 Uniswap 上のすべてのコインがアクティブなトークンリストに表示されるわけではありませんが、警告が表示されたトークンは警戒すべきです。

Be wary of fake coins for real projects: $SpaceX コインなどというものは存在しませんが、本物のプロジェクト向けの偽のコインにも警戒が必要です。 本物のプロジェクトと同じ名前を使用して、イーサリアムネットワーク上で悪意のあるトークンコントラクトを作成することはあそれほど難しくありません。

本日、Uniswap 上で偽の $AURORA トークンコントラクトが取引されていることに気付きました。 token contracts trading on Uniswap.本プロジェクトに関連のある ERC-20 トークンは存在しません。こうしたなりすまし詐欺から購入してしまうと、確実に資金を失うことになりますのでご注意ください。他の方にも注意喚起をお願いします。

— Arto Bendiken (@bendiken) 2021 年 5 月 21 日

本物のコントラクトかどうか見分けるためには、プロジェクト製作者からの公式のアナウンスを探しましょう。 製作者は一般的にデプロイメントの前に、トークンコントラクトのリリースに関する詳細情報と、検証済みのコントラクトアドレスを公開します。

When in doubt, sit this one out: 暗号通貨の世界では、新興のコインに投資して高い収益を期待する多くのファンがチャンスを待ち構えています。 しかし、ほんのわずかでもコインやプロジェクトの正当性に疑念がある場合、そして DYOR の後も疑念が払拭できない場合、様子見するのが最善策でしょう。 偽のコインやプロジェクトに投資してしまうと、甚大な損失が生じる可能性がありますので、いつの間にか無価値のトークンを掴まされてしまうよりは、見送る方が良いでしょう。

関連記事

• イーロン・マスク氏とサタデイナイトライブ: ビットコイン、イーサリアム、ドージコインの模倣や偽のプレゼントで 1 千万ドルを超える仮想通貨詐欺被害発生 (英語)
• 暗号通貨詐欺: 政治家や著名人のフォロワーになりすました偽の無料配布ツイート（英語）

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。