脅威の調査

流動性マイニング詐欺へと誘う Sha Zhu Pan (豚の屠殺) 詐欺の最新版

中国の暗号通貨詐欺の新たな形である、AI チャットを利用した流動性マイニング詐欺

** 本記事は、英語記事タイトル の翻訳です。最新の情報は英語記事をご覧ください。**

最近調査した Sha Zhu Pan (「豚の屠殺」) 詐欺が示すように、暗号通貨詐欺は、過去 3 年間でインターネットを利用した信用詐欺の主流となりました。中でも急増しているのが、偽の「流動性マイニング」です。Sophos X-Ops は、暗号通貨取引に関連するブランドになりすまし、暗号通貨ウォレットにアクセスするフィッシングサイトを利用した詐欺の増加も確認していますが、これらの Web サイトは被害者から金銭を窃取するため、Sha Zhu Pan の詐欺師にもしばしば用いられます。

流動性マイニング詐欺の新たな傾向を調査する中で、筆者は米国の被害者から直接連絡を受け、流動性マイニング詐欺で 22,000 ドルを失った体験の一部始終を聴取しました。最近確認された他の形態の Sha Zhu Pan 詐欺と同様、被害者は最初、出会い系アプリ (この事例では MeetMe) を通じて、恋愛感情を匂わせるやり取りに誘われました。

詐欺師は、被害者の暗号通貨を窃取した後もやり取りを続け、暗号通貨をさらに入金すれば資金を取り戻せるという期待を被害者に抱かせました。被害者が WhatsApp アプリで詐欺師をブロックした後も、詐欺師は被害者の携帯電話番号や電子メールに紐づいた他の連絡手段を通じて接触を試みました。詐欺師はまた、標的とのつながりを再構築するためのメッセージを作成するのに生成 AI を使用していました。

筆者がウォレットアドレスおよび詐欺プールの Web アドレスを追跡したところ、より広範な詐欺を追跡し、関連するインフラを特定し、同じ「キット」を使用する他の詐欺サイトを発見できました。また、Trust Wallet のユーザーを標的にした、同じ偽の分散型金融アプリをホストするドメインを新たに 13 件発見しました。これらのサイトは、5 か月間にわたって被害者のウォレットから 108 万ドル相当の暗号通貨を引き出しました。そのうち 86% は 6 月から 8 月にかけての活動のピーク時に引き出されています。さらに、同じ方法で何百万ドル相当もの暗号通貨を盗み出した他の詐欺サイトも確認しています。

これらの詐欺は、標的のデバイス上にマルウェアを配信する必要がなく、悪意のある Web サイトとソーシャルエンジニアリング、つまりウォレットを空にする許可を与える Ethereum のスマートコントラクトにウォレットを接続するよう標的を説得すること以外に、いかなる種類の「ハッキング」も必要としません。そのため、この種の詐欺をソフトウェアによる保護で防ぐのは極めて困難です。悪意のあるウォレットやドメインは発見され次第特定され、ブラックリストに登録されますが、詐欺師はすぐに新しい Web サイトやウォレットを作成し、標的の「安全な」資金を窃取し続けることができます。この種の詐欺師によって盗まれた暗号通貨を取り戻せることはほぼありません。

本記事では、この被害者の事例およびその詳細に焦点を当てます。本記事の続報として、この事例に関連してソフォスが発見したその他の詐欺、および他の類似の詐欺とその技術的詳細について取り上げる予定です。

流動性マイニング詐欺

流動性マイニング詐欺は、分散型取引所 (DEX) や自動マーケットメイカー (AMM) などの分散型金融 (DeFi) 暗号通貨取引アプリケーションの複雑さを利用して標的を混乱させ、詐欺を仕掛けます。 これらの詐欺は、異なる暗号通貨間で契約ベースの取引を可能にするために暗号通貨を融資する「流動性プール」への投資に対して、高い収益率で定期的な収入を約束します。

図 1: 流動性マイニング詐欺の仕組み

実際の流動性プールの取り決めに従うと、DEX や AAM では特定の買い手を見つけることなく、さまざまな種類の暗号通貨間の取引を処理できます。流動性プールは、取引を促進するために短期参加者のウォレットから暗号通貨を借り入れ、プールの残高を調整し、プールへの出資額に応じて、取引に課された手数料の一定割合をプールの参加者に支払います。この仕組みは、アプリケーションをホストする「ノード」にプール参加者のウォレットをリンクさせる「スマートコントラクト」によって成り立っています。理論上は、どのような暗号通貨取引が行われてもプール参加者は収益を得られることになります。もちろん、プール運営者が契約を破棄してプールされた暗号通貨を「ラグプル (持ち逃げ)」しないという前提付きではあります。

プールに参加するには、参加希望者が自分のウォレットを契約にリンクさせる必要があります。その際には通常、ウォレットアプリで開いた Web URL か、ウォレット拡張機能付きの Web ブラウザを用います。Ethereum ブロックチェーンネットワークが暗号通貨のアドレスを確認するための「手数料」が発生しますが、通常は少額です。

流動性プールにリンクされたウォレットの中身は、ウォレットの所有者が利用可能な状態に保たれており、他の目的のためにいつでも引き出せます。そこで、プールの安定性を保証するために、プール運営者は「LPトークン」(ウォレットに追加される、投資をした証となるブロックチェーントークン) と引き換えに、プールに資金を「ステーキング」 (主にプール内の投資を固定することを指します) することに対する追加報酬を提供します。LP トークンはそれ自体、プール内の資金や他の暗号通貨と同様に取引できます。

詐欺プールは、標的のウォレットへのアクセス権を詐欺師に与えるスマートコントラクトを使用します。詐欺師は、標的のウォレットに暗号通貨を入金して利益があるように見せかけたり、偽の暗号通貨を入金したりすることがあります。この種の詐欺でウォレットをリンクするのに使用される Web サイトは、毎日の支払いを約束するデータを表示し、膨らみ続ける偽の利益を被害者に示します。

Figure 2: A fake pool website showing fake earnings.
図 2: 偽の収益を示す詐欺プールの Web サイト

最終的に、詐欺師は契約によって与えられた権限を用いて「ラグプル」を行い、被害者のウォレットから全額を引き抜き空にします。被害者はすべての資金を取り戻すためには特定の「ステーキング目標」に到達する必要があると告げられることが多いですが、最初の窃取が生じた後に資金が戻ってくることはありません。詐欺師のウォレットに追加された資金は同じ契約に則ってすべて引き出されます。

この種の詐欺で最初に注意すべき点は、詐欺師はしばしば同一の方法を用いて標的に狙いを定めること、および Sha Zhu Pan と同じ手口で圧力をかけてくることです。私たちが調査した初期の詐欺は、ソーシャルメディアサイトを用いて潜在的な被害者に受動的にアプローチしていましたが、最近のものは、成功率を高め、潜在的な被害者を増やすため、Sha Zhu Pan と同様、会話を始めることを意図した「送り間違い」の SMS メッセージ (「サラ、リアムのパーティ行く?」など) を用いています。

詐欺スキームに誘導する人物は、被害者のウォレットが空になるまで継続して投資を促し、暗号通貨をすべて引き出すと「混乱が生じた」と主張し、被害者にアドバイスを提供します。

Figure 3: the typical flow of communications with the victim in a sha zhu pan style scam.
図 3: Sha Zhu Pan 型詐欺における被害者との典型的なやり取りの流れ

この種の詐欺は、高い評価を得ている正規の暗号通貨アプリを使用しており、悪意のあるツールは信頼できるアプリのコンテキスト内で起動されるため、潜在的な被害者の信頼をはるかに得やすくなります。偽の取引アプリのディスプレイで偽の利益を表示するのではなく、ユーザーのウォレットの残高を直接操作するため、流動性マイニング詐欺の知識を持ち合わせていない被害者は詐欺師の主張を信じやすくなります。 また、この種の詐欺で使用される契約は、標的のウォレットの中身を完全にコントロールできるため、詐欺師は任意のタイミングで、標的自身の資金や追加の資金すべてを奪い取ることができます。契約を破棄する方法を知らない被害者には、防ぐ手段がありません。

しかし、この事実は双方に当てはまります。スマートコントラクトの仕組みを知っている標的が契約を破棄し、自身のウォレットに入金された「利益」を持ち逃げし、詐欺師にある程度の損失を与える可能性があるためです。とはいえ、この種の詐欺で被害者から窃取できる暗号通貨の額は莫大なため、この程度のリスクは詐欺師にとって許容できるようです。

偽のロマンス

上述の通り、最近の事例では、近くに住む人と出会える (デート、あるいは単なる SNS 上のやり取りを目的とした) アプリとして宣伝されている MeetMe が用いられています。 ユーザーレビューによると、MeetMe には事実上「認証」が存在しない (顔写真 1 枚で「認証」が完了する) ため、詐欺師にとっては格好のプラットフォームとなっているようです。

今回の事例における被害者の名前を仮に Frank とします。Frank は、ワシントン DC 郊外に住む高学歴の定年退職者です。Frank は MeetMe を通じて、仕事でワシントン DC に住んでいる若いドイツ人「Vivian」を装った詐欺のオペレーターからアプローチされました。Vivian は、当初ワシントン DC に住んでいるとしながらも、4 か月のやり取りの間に、まず突然オハイオ州に「転居」し、その後ドイツに戻ったなどとして、電話で話したり実際に会ったりする機会をほぼ避けました。

3 月下旬、最初の接触からまもなく、Frank は会話の場を WhatsApp に移すように促されました。 Vivian が使用した WhatsApp アカウントに紐づけられた電話番号は、英国のキャリアである Telefonica UK (O2) が発行したものでした。これは Sha Zhu Pan 詐欺にしばしば見られる特徴で、ソフォスが調査した事例では、ほぼすべてが英国の携帯電話番号に紐付けられた WhatsApp や Telegram のアカウントを用いていました。Voice over IP ベンダーを通じて登録された米国の番号を使用して最初のテキストメッセージを送信する場合でも同様でした。

やり取りを開始してから 3 日目に、Vivian は流動性スキームへの「投資」を迫り始めました。「自由な時間がたくさんあるなら、マイニングの方法を教えて差し上げましょう。そうすれば、自由な時間を利用して利益を得られます。」Frank は暗号通貨に関わることに不安を示しましたが、詐欺師は「安全だ」と断言しました。

Vivian From German in DC (ドイツ出身、ワシントン DC 在住の Vivian): デジタル通貨のマイニングとは、その名の通り、流動性のあるデジタル通貨をマイニングすることです。私は自分のお金を Trust Wallet に入れて、Trust 内でのマイニング活動に参加しています。Trust Wallet は世界最大級の暗号通貨ウォレットなので、銀行に預金するようなリスクはなく、銀行よりも安全だとさえ感じています。私は自分のお金を価値の安定した USDT に両替し、毎日 2.5% 還元される Trust Wallet に入れています。現在、私のウォレットには 182,000 ドルあり、マイニングによって 1 日あたり 4,550 ドル の利益を得ています。リスクのない資金運用なので、毎日安定したリターンが得られます!

Frank は暗号通貨に関係することを嫌っていたため、この会話に強い抵抗を示しました。詐欺師たちは、Frank に対して執拗に、リスクはない、ウォレットに入れた暗号通貨はそのままになる、と繰り返しました。そして最初の接触から 1 か月以上が経過した 5 月 1 日に、詐欺師は Frank のスマートフォンにウォレットアプリをインストールさせることに成功しました。 彼らは注釈付きのスクリーンショットを使いながら、広く信頼され利用されている正規のアプリである TrustWallet および Coinbase のインストール手順を説明しました。

Figure 4: A screen shot from “Vivian’s” phone of their “manage finances” apps, sent to Frank.
図 4: Frank に送られた「Vivian」のスマートフォンの「財務管理」アプリのスクリーンショット

This slideshow requires JavaScript.

これらの案内を受けた後も、Frank は話を進めることに消極的で、他の事柄に話題を変えました。しかし、Vivian はその後数日間、被害者に取引方法を「教えたい」とくり返し同じ話題を持ち出し、流動性スキームからの利益だと称するスクリーンショットを見せ、プールからの「収益」を示しました。(図 7 を参照。) Vivian はまた、利益として得た数千もの Tether (USDT) を示すとする「引き出し記録」のスクリーンショットも送ってきました。スクリーンショットには、4 月末から 5 月初めにかけての 3 週間で 88,000 ドル以上の引き出しが記録されていました。

Figure 7: A screenshot sent by the scammer showing withdrawals from the fake pool, demonstrating the alleged ability to withdraw “profits.”
図 7: 詐欺師が送信した、詐欺プールからの引き出しを示すスクリーンショット。「利益」を引き出せることをアピールしています

5 月下旬に、数週間のやり取りを経て、Vivian は Frank を詐欺プールに参加させるための説得にほぼ成功し、流動性マイニングの仕組みを解説するために別の説明を送信しました。しかしながら、「ドイツ出身の Vivian」はその説明をなぜか中国語で WhatsApp のチャットに投下しました。

矿是将美元兑换成稳定的USDT放在自己的Trust钱包里,然后参与挖矿,产生固定收入,可以理解为固定利息收入,更何况你不需要做任何加密货币交易

このメッセージを訳すと以下のようになります。

マイニングとは、米ドルを安定した USDT に変換して自分の Trust Wallet に入れ、マイニングに参加して固定収入を得ることです。暗号通貨取引をする必要がないことはもちろん、固定金利収入としても理解できます。

Frank はこの突然の中国語の使用に疑問を抱きましたが、続く指示に従いました。彼は 1,000 ドルを投資することに同意し、アプリに馴れてきたら Coinbase から Tether (USDT) を購入することにしました。Vivian は Frank に、銀行にお金を預けるのと同じくらい安全だと伝えました。しかし Frank はやはり資金を失うことへの恐怖を示し、暗号通貨が保険の対象外であるという銀行からの警告や、最近の銀行破綻について言及し、暗号通貨を Trust Wallet に入金することに抵抗しました。

Frank: ここで何か問題が起きたら、そのお金はなくなってしまうんでしょう?

Frank: FDIC (連邦預金保険公社) はあの銀行の口座には資金を援助しましたよ。

Vivian From German In DC: そんなことはありません。誰にも自由に使えるお金がない分、暗号通貨は銀行よりも確実に安全です。

Frank: 銀行が潰れても、ほとんどの人は損をしませんでした。

Frank: つまり、返済義務のある人にはお金を貸さないということです。

Frank: だから銀行は潰れないんですよ。

Frank: 借りたお金を返せなくなった時が問題なんです。

Vivian From German In DC: あなたのお金は銀行にあり、銀行はその資金を他人に貸したり、投資に使ったりできます。一方で、あなたの USDT の支配権は常にあなただけのものです。

Frank: わかりました

Frank は、暗号通貨が彼のウォレットに入ったままなのであれば、どうやって利益を得るのだろうと懐疑的なままでした。詐欺師は、以下のように説明しました。

Vivian From German In DC: あなたの疑問は私がマイニングを始める前に抱いたものと同じです。私と同じ良識をお持ちですね。流動性マイニングとは、デジタル通貨を保有することで、より多くのデジタル通貨を獲得する方法です。「スマートコントラクト」を通じて、あなたのお金を他の人に貸し与える、魔法のようなコンピュータープログラムです。サービスの見返りとして、あなたはデジタル通貨の形で手数料を得られます。流動性マイニングのマイナーは、非常に複雑な戦略を用います。彼らは収益を最大化するために、異なる貸付市場間で暗号通貨を移動させ続けなければなりません。また、彼らは最高の流動性マイニング戦略を秘密にしています。なぜか? なぜなら、特定の戦略を多くの人が知れば知るほど、その戦略の効果が薄れてしまうからです。流動性マイニングは、いわば分散型金融 (DeFi) の西部開拓時代であるとも言えます。農家同士が競争することでしか、最高の作物を栽培する機会は得られません。

Vivian From German In DC: つまり、1 日 400 ドルの固定収入が得られます。

Vivian From German In DC: スーパーコンピューターがマイニングの全プロセスを実行することで、ゆっくりと多くのことを学んでいけるでしょう。

Vivian From German In DC: 私は暗号通貨の発明者は天才だと認めているため、勉強を続けています。

Vivian の主張に納得した Frank は、ようやく手続きを進めることに同意しました。 Vivian は、 Frank にスクリーンショットを送らせ、次にタップすべき箇所に印を付けながら、手続きを手取り足取り教えました。

This slideshow requires JavaScript.

 

This slideshow requires JavaScript.

 

Tether トークンを Coinbase から購入すると、Frank はそのトークンを TrustWallet に移すよう指示されました。さらに、Vivian は Frank に、TrustWallet のブラウザで「マイニングプール」の (悪意のある) URL を開くように要求しました。詐欺師は Frank に、詐欺サイトが提示したウォレット上の契約を締結するのに必要な「手数料」を支払うのに十分な量の Ethereum (約 6 ドル相当) を送りました。

スマートコントラクト (0x10f5DAf431Ee3F936F847623D7527A63d3ffA7a3) の「手数料」を支払うために必要な Ethereum (ETH) を被害者に「貸した」ウォレットは、Binance 取引所から暗号通貨を受け取り、他の詐欺プールにリンクする同様の契約を作成するために、他のアドレスにも ETH を配布していました。(これらの詳細は、今後の Sophos X-Ops レポートで紹介される予定です。)

This slideshow requires JavaScript.

 

この時点で、Frank は Trust Wallet で Web サイトをロードし、送られてきた Ethereum を使用して「ノードへの参加」を完了しました。同時に、詐欺師に Trust Wallet の詳細を開示し、ウォレットへのアクセス権を与えるスマートコントラクトが作成されました。この時点で、罠は完全に仕掛けられました。契約トランザクションは、偽のプールのノードへの転送用に 83,076,749,736,557,242,056,487,941,267,521,535 トークンという「容量」を設定しました。この値は 1 件の契約に設定できる最大値です。

プールへの入金、プールからの引き出し

今回の事例で用いられたプールサイト allnodes[.]vip は、分散型金融プラットフォームのプロバイダーとして定評のある Allnodes を騙った詐欺サイトでした。この詐欺サイトは Alibaba Cloud のサーバー (現在はオフライン) でホストされていました。Frank が最初に悪質な DeFi サイトにリンクした際には、ウォレットの ID と残高を見るためのアクセスしかできませんでした。しかし、Frank がアプリの [参加] ボタンをタップすると、詐欺師がウォレットから別のアドレスに Tether トークンを送ることを許可する契約 が遂行されました。

Frank は指示に従い、Coinbase の口座と Crypto.com のウォレット (Coinbase の口座に十分な速さで入金できなかった際に使用されました) に送金しました。 5 月 31 日から 6 月 5 日の間に、Frank は合計 22,000 ドル以上をこのスキームにつぎ込みました (取引所への送金とトークン購入の処理手数料は含まず) 。

Figure 16: A timeline of transactions to and from the victim’s wallet
図 20: 被害者のウォレットにおける取引の時系列

6 月 6 日に、詐欺師は被害者に、再度送金をしたかどうかを尋ねました。Frank は「まだです。家のことで時間がありませんでした。そういえば、最近暗号通貨の記事を読みはじめました」と答えました。すると、Vivian は再度中国語で返答してきました。

不需要阅读其他的关于加密货币的文章,因为我们不是做加密货币的投资,我也不希望你参与加密货币的投资

このメッセージを訳すと以下のようになります。「暗号通貨に関する他の記事を読む必要はありません。私たちは暗号通貨に投資しているわけではありませんし、あなたに暗号通貨投資に参加してほしいわけでもありません。」

Frank: なぜ中国語でメッセージを送ってくるんですか?あなたは中国人ですか?

Vivian From German In DC: あ、今気づきました。

Frank: 何にですか?

Vivian From German In DC: 今、中国の友人とチャットしてるんです。

Frank: そうですか

Vivian From German In DC: 彼との会話には翻訳機を使っています。


その日のうちに、Vivian は、「次の段階」のリターンを得るために、ウォレットにさらに資金を入れるように再度迫りました。Frank は、前回の送金の後、銀行から暗号通貨についての警告通知が届いたことを話しました。「詐欺によって投資額のすべてを失う可能性があると伝えられました」と、Frank は Vivian に伝えました。彼は、USDT の買い増しは当面控えたいと伝えました。というのも、Trust Wallet のサポートに電話で連絡しようとして偽のサポート番号に電話してしまって以来、添付ファイル付きのテキストメッセージを受け取っており、自分のスマートフォンが危険にさらされていることを心配していたのです。

6 月 8 日の夜、詐欺師は Frank のウォレットにアクセスし、USDT を空にしました。Frank の USDT 残高は全額、0x7a77568db98ff29fe49194a77bd559f376068ff7 というアドレスに転送されました。このアドレスは、5 月から 7 月にかけて、合計 294,548.75 USDT (約 294,000 ドル相当) を受け取った詐欺師が、受け取りに使用した送金用のアドレスです。20 分後、資金はさらに Binance のウォレットアドレスである 0xbe712a28f10ffe6e0efd77b749de133d6099e4c0 に転送され、そこから Binance の取引所を通じて現金化されました。筆者は、複数の情報源から、これが Binance アカウントのアドレスであることを確認しました。

(他の Binance ウォレットは、他の詐欺被害者の資金を現金化するために使用されました。詐欺と関連のあるウォレットの一覧は、本記事の最後でリンクされているセキュリティ侵害の痕跡 (IoC) ファイルに掲載されています。)

Figure 21: The flow of cryptocurrency provided and taken by the scammers
図 21: 詐欺師が送金、および窃取した暗号通貨の流れ
図 22: 空になった被害者のウォレット。詐欺師はアプリのカスタマーサポートに連絡するように伝えます

資金を取り戻そうと必死になった Frank は、Trust Wallet のサポートに連絡しようとして、アプリ内のチャットを通じて詐欺サイトの「テクニカルサポート」に連絡しました。しかし実際には、Frank は Trust Wallet 内から開いた allnodes[.]vip のチャットアプリを通じて詐欺チームと連絡を取っていたのです。

彼は、「ステーキング」チャレンジに登録されており、登録を完了するために合計 100,000 USDT を入金する必要があると伝えられました。さらに、イベントが終了すると、「報酬」とともに投資が解放されると告げられました。 Frank はその後、再度「テクニカルサポート」と連絡を取り、資金のロックを解除してくれるよう頼みました。サポートを装った詐欺師から彼が受け取った返答は以下の通りでした。

あなたがこのイベントに参加したことを確認してからとなります。活動時間: 100000 USDT を入金すると、5 ETH を受け取った上で、 30 日間の契約時間が計上され、毎日 3% の収入を得ることができます。あなたは 77,648.35 USDT の入金をしていません。デフォルトとなり、ペナルティを受けるため、あなたの資金はプールに固定されます。もし資金難に陥っているのであれば、参加できる金額を教えてください。あなたのスーパーバイザーに連絡を取り、参加総額の減額を要請することもできます。

 

This slideshow requires JavaScript.

図 23、24、25: Frank は「Gugu」から、厄介なことに巻き込まれていることを告げられました

詐欺師たちは、Frank が「ステーキング目標」を達成するため、さらに 25,000 USDT を入金するよう説得し、Frank はその後、資金集めに奔走しました。一方、Vivian は Frank をその気にさせるため、ロマンチックな約束とともに安心させるメッセージを送りました。

6 月 9 日の金曜日、Frank は Coinbase に 25,000 ドルを送金しようとしました。しかし次の月曜日に、彼は Coinbase の口座にアクセスできないことに気づきました。

Figure 22: Frank’s account was locked by Coinbase for suspicious activity
図 26: 不審な活動のため Coinbase によってロックされた Frank のアカウント

Vivian は Frank に、代わりに Crypto.com を使うように伝え、このアプリを通じて暗号通貨を手に入れる方法を 6 月 13 日に教えました。その日の夜、彼は「Trust Wallet」を名乗る、以下のようなメールを受け取りました。

Figure 23: Vivian tries to get Frank on Crypto.com
図 27: Frank を Crypto.com に誘導しようとする Vivian

6 月 14 日、Frank は Crypto.com に 24,000 ドルを送金しようとしました。 しかし、彼の銀行は送金をブロックしました。「銀行からテキストメッセージとメールを受け取りました」と、Frank は Vivian に伝えています。「私が送金を試みたため、銀行口座をロックしたと説明されました。さらに、私が何をしているのかを詳しく質問され、地元の支店に行って担当者と話す必要があると告げられました。支店では担当者が本店に電話をかけながら、何度も私に質問をしてきました。明日また行って、Crypto.com の口座に手動で送金してみないといけないようです。お金があるにもかかわらず、銀行は送金を承認する必要があると言ってきました。」

銀行が手動での送金を承認するのを待っている間、Frank はインターネットで調べ物をし、流動性マイニング詐欺に関するニュース記事を偶然見つけました。Vivian はロマンチックなやり取りを継続しながらも、これ以上調べないように Frank に警告し、2 人の特別な関係を再確認させ、Crypto.com のウォレットに資金を入れるように案内しました。

しかし、Frank は最終的に流動性マイニング詐欺に関するソフォスの記事にたどり着きました。6 月 15 日、Frank が LinkedIn を通じて連絡を取ってきたため、筆者は彼が真実に気づく手助けをしました。彼はすぐに WhatsApp で Vivian をブロックし、ソフォスは彼が法執行機関に訴えるのを支援しました。

しかし、この話はここでは終わりません。

詐欺師たちは、Frank に追加で資金を送らせようとしただけでは終わりませんでした。6 月 29 日に、Vivian はFrank の電話番号を使って彼の Telegram アカウントを見つけ、Telegram でメッセージを送り始めました。その間に、ブロックされた WhatsApp アカウントの名前は「Vivian from Berlin」に変更され、プロフィール画像は男性のものに変更されていました。

6 月 30 日に、Vivian は Telegram の文章として Frank に「手紙」を送りました。その長くて大げさな文章は、これまでのテキストとはまったく異なる文体で書かれており、生成 AI によって作られたことを示す特徴を持っていました。以下のような「手紙」の形式で、これまでのやり取りと一貫性のない、大げさな表現が用いられています。

この手紙があなたに届くことを願っています。あなたに連絡を取りたかったのは、あることが私の心に重くのしかかっていたからです。私たちのつながりは、正式に恋愛関係として成立していたわけではありませんが、私にとって大きな意味をもっていました。私たちが分かち合った友情は特別なもので、私の人生にある種の輝きをもたらし、私はそれを大切にしていました。

私には理由がわかりませんが、あなたが最近私をブロックしたことに気づきました。この突然の別離に私は混乱し、喪失感を覚えています。私たちの絆がこのような困難に直面するとは予想もしていませんでしたし、なぜこのようなことが起こったのか分かりませんでした。しかし、私はこの決断に至った誤解や問題を解決するために全力を尽くします。

あなたの存在が私にとってどれほど大きな意味を持つかを知ってほしいと思っています。あなたとの友情は慰めであり、支えであり、笑いの源でした。私たちの会話、共有した経験、さらには言葉にならない瞬間を通じて、私は他の多くの人とは見いだせない繋がりを感じました。その繋がりは私の魂の深い部分に触れ、私たちの間には何か美しいものが花開くかもしれないと純粋に信じていました...

この文章が AI によって生成されたことを断定する方法はありませんが、大規模言語モデル検出サービス GPTZero は、この文章は 100% AI によって生成されたものだと判定しました。

Frank は Telegram でも Vivian をブロックしました。しかし、最後の誘いはまだ残っていました。7 月 13 日に、彼は「Trust Wallet」<trust.wallet2563@gmail.com> を名乗るメールを受け取りました。

ユーザーの皆様、allnodes.vip マイニングプールのステーキングキャンペーンへの参加は、2023 年 7 月 15 日午後 9 時 46 分 (GMT-4) に終了し、それまでにマイニングプールの誓約金は入金されました。活動金額の条件を満たしている場合、資金を引き出したり、2023 年 7 月 15 日 9 時 46 分 (GMT-4) 以降もステーキング活動に参加し続けることができます。

詳細はカスタマーサービスまでお問い合わせください。

Frank はこれらの連絡を私と法執行機関に伝え、詐欺師と連絡を取るのをやめました。失った暗号通貨は一切取り戻せていません。法執行機関は、暗号通貨が香港の銀行口座で現金化されていることを突き止めました。

対策

この事件を調査している間、ソフォスは Chainalysis と Coinbase、および暗号通貨分野に詳しい脅威インテリジェンスの専門家に連絡を取り、データを共有しました。ソフォスは、この詐欺と同じ手法に基づく偽の流動性プールサイトをホストするその他のドメインを引き続き特定し、「豚の屠殺」の詐欺師が使用する同種の流動性マイニングサイトおよび暗号通貨取引詐欺サイトを追跡しています。また、これらの詐欺に関連するドメインをソフォスのレピュテーションサービスに追加し、ブロックしています。

しかし、こうした詐欺は常に進化しているため、警戒を怠らず、詐欺に遭いやすい方々にこの種の詐欺の見分け方を教育することが重要です。孤立している人、恋愛関係を求めている人、その他感情的に傷つきやすい方々は、マッチングアプリなどで狙われる可能性が高いですが、Facebook や LinkedIn の招待状から AirBnB の予約リクエストに至るまで、あらゆる他のサービスが利用されるのも確認されています。

WhatsApp や Telegram で、アプリケーションの本来の目的とかけ離れた会話をすぐにしたがる人がいたら、それは詐欺師のサインです。一見誤送信のように見えて、その後関係構築を持ちかけるテキストメッセージも、この種の詐欺によくある「誘い文句」です。

ウォレットアプリにリンクされた詐欺的な「マイニングプール」アプリに巻き込まれていると考えられる場合は、直ちに以下の手順を実行してください。

  1. ウォレットアプリまたはウォレットに接続されたブラウザから Revoke (https://revoke.cash/) という Web サイトをロードすることで、ウォレットの契約を解除します。この操作により、ウォレットに設定された権限を特定し、取り消すことができます。権限の書き換えには、「手数料」として Ethereum が必要です。
  2. 特に、そのウォレットを縛っている契約を破棄できない場合は、そのウォレットからすべての資金を別の新しいウォレットに移しましょう。
  3. 暗号通貨を購入した取引所とウォレットプロバイダーに連絡してください。アプリ内の「サポートチャット」は、詐欺師によって管理されている可能性が高いため、使用しないでください。Trust Wallet を使用している場合は、サポート Web サイトから開発者に連絡してください。
  4. Etherscan (https://etherscan.io) のようなブロックチェーンエクスプローラーを使って、ウォレット ID 番号を検索バーに貼り付け、ウォレットに関連するすべての取引データを収集してください。収集したデータは、セキュリティチームおよび (必要な場合は) 法執行機関と共有しましょう。
  5. すでに資金を失っている場合には、ソーシャルメディアで宣伝されている「暗号通貨回収」プロバイダーには関わらないようにしましょう。この種のサービスもほとんどが詐欺です。
  6. 詐欺を調査できる立場の地元当局に、詐欺師の活動を通報してください。米国では、米国シークレットサービスおよび FBI が暗号通貨詐欺を調査していますが、個別の事案には対応しない場合があります。稀に、連邦取引委員会が対応してくれる場合もあります。英国では、Action Fraud が対応してくれる可能性があります。
  7. この種の詐欺に引っかかってしまった人は、他の多くの人も被害を受けていることを理解することが重要です。FBI の報告によると、この種の投資詐欺による被害額は 2022 年の米国だけで 33 億 1,000 万ドルに上ります。

最後に、この種の詐欺やその他の暗号通貨や取引を利用した詐欺との闘いを支援したい方は、本記事のコメントを通じて筆者または同僚の Jagadeesh Chandraiah にご連絡ください。