認証済みアカウントを悪用したフィッシング攻撃の全貌
BNBチェーンの公式Xアカウントが不正アクセスを受け、偽のエアドロップやWalletConnectを装ったリンクが投稿された。
ALERT 🚨: The @BNBCHAIN X account may have been compromised.
Please do not click on any links recently posted from this account.
The teams are investigating and will share updates as soon as possible. 🙏
— CZ 🔶 BNB (@cz_binance) October 1, 2025
BNBCHAIN Xアカウントが不正アクセスされた可能性があります。このアカウントから最近投稿されたリンクはクリックしないでください。担当チームが調査中で、最新情報をできるだけ早くお知らせします。
短時間で約1万3,000ドル(約192万円)相当の仮想通貨が流出し、CZ(ジャオ・チャンポン:趙 長鵬:Zhao Changpeng)氏はアカウント復旧と被害者補償の方針を示した。BNBチェーンの中国語アカウントでも侵害が確認され、その後に復元された。BinanceのセキュリティチームはX側へ連絡して一時停止を要請し、関連フィッシングドメインの削除手続きも進めた。
ハッキングの概要と被害の範囲
攻撃は2025年10月1日(水曜日)に発生し、攻撃者はBNBチェーンの公式Xアカウントを乗っ取り、BNB HODLerエアドロップを名乗る投稿や、bnbchain.orgを装った詐欺サイトへのリンクを拡散した。
リンク先ではWalletConnectの接続や有害な承認を促し、これに応じた一部ユーザーの資金が攻撃者側へ移転。被害額は約1万3,000ドルにとどまった。
過去に数百万ドル規模の被害が出たフィッシング事例と比べれば限定的だが、認証済みの公式アカウントが悪用された事実は重い。コミュニティでは「金色のチェックマークがあっても安全とは限らない」との懸念が高まり、SNSアカウントの管理体制そのものに疑問が投げかけられた。
専門家からは、チームメンバーが外部アプリに誤って投稿権限を付与した可能性や、ソーシャルレイヤーを突く侵入の線が指摘されている。BNBチェーンの中国語アカウントも侵害確認後に警告を発し、疑わしいリンクへ一切接触しないよう注意を促した。
迅速な復旧と今後のセキュリティ課題
BinanceはXに通報して当該アカウントを一時停止し、アクセス回復後は詐欺投稿の削除とフィッシングドメインのテイクダウンを進めた。
CZ氏は被害者への補償を表明し、公式発信であっても必ずドメインを二重チェックするよう強く呼びかけた。
今回の事案は、技術的な脆弱性だけでなく運用面の統制が重大なリスク要因になることを示した。ユーザー側では、ソーシャルメディアの投稿からの署名やウォレット連携を避け、公式サイトや複数の信頼チャネルで告知を確認する、二要素認証やハードウェアキーを利用する、見慣れない連携アプリの権限を外す、といった基本動作が有効だ。組織側も最小権限の徹底、セッションの無効化手順、24時間体制の監視と即時通報、事後分析の公開など、プロセス面の強化が欠かせない。
BNBチェーンは利用拡大へ向けた手数料やブロック間隔の見直し提案を進めている。成長と並行して、公式チャネルの防御と運用統制をどこまで高められるかが、エコシステムの信頼維持に直結する。
