コインベースがシードフレーズ入力をユーザーに要求
コインベース(Coinbase)は、ウォレットのシードフレーズ入力を求める移行ページを公開したことで、批判を浴びている。
ユーザーが12単語のシードフレーズを直接入力することを要求するコインベースCommerceのこのページについて、@Evilcosというペンネームを使用するSlowMist(スローミスト)創設者は、このページについて直接警告を発し、危険な行為だと指摘している。
セキュリティ専門家は、この方法がフィッシングやソーシャルエンジニアリング攻撃を助長する可能性があると警告。批判者たちは、シードフレーズをオンラインで公開することは、自己管理型ウォレットにとって深刻なリスクを生み出すと指摘している。
ソーシャルエンジニアリング詐欺とは、システムを直接ハッキングするのではなく、犯罪者が人々を操って機密情報を漏えいさせたり、セキュリティを侵害するような行動を取らせたりする攻撃のことだ。攻撃者は技術的な防御を突破するのではなく、信頼、切迫感、恐怖、権威といった人間の心理を利用する。
セキュリティ研究者が警鐘を鳴らす
このページは、コインベースが3月31日の期限前にCommerceとコインベース・ビジネス(Coinbase Business)を統合するにあたり、加盟店が資金を移行するのを支援するために作成された。
Commerceを通じてビットコインなどの仮想通貨の支払いを受け取った加盟店は、コインベースのサブドメインにある出金ツールに誘導され、そこで12単語のシードフレーズを入力して資金を統合・移動するよう求められる。
シードフレーズをGoogleドライブにバックアップしていたユーザーは、Commerceダッシュボードの設定からシードフレーズを表示させ、出金ツールに入力する必要がある。コインベースは、ユーザーがシードフレーズを紛失した場合、資金を復元できないことを明確にしている。
オンチェーン調査員のZachXBT氏はXへ次のように投稿している。
So basically Coinbase has an official page live threat actors can use to target Coinbase users via seed phrase social engineering if they wanted? pic.twitter.com/oLfBNrMrhp
— ZachXBT (@zachxbt) March 19, 2026
つまり、コインベースには、攻撃者がシードフレーズを使ったソーシャルエンジニアリングによって、コインベースユーザーを標的にするために利用できる公式ページが存在するということでしょうか?
さらに、あるユーザーは、資産復元のために平文のニーモニックフレーズを入力するよう求めるやり方は非常に安全ではないと指摘し、サブドメインが侵害されている可能性さえ疑っていると述べた。
問題は、シードフレーズが仮想通貨ユーザーが保有する情報の中で最も機密性の高い情報であるという点だ。シードフレーズを入手した者は、ウォレットへの完全かつ不可逆的なアクセス権を得てしまう。シードフレーズをウェブフォームに入力することを当たり前のようにしている、公式に見えるコインベースのページは、犯罪者にとってフィッシング攻撃の完璧な設計図となる。
研究者らはこのページについて、基本的な運用セキュリティ対策が講じられていない状態で公開されており、適切なセキュリティレビューが行われていないことを指摘した。攻撃者は、ページを複製し、ほぼ同じURLに誘導するメールを送信し、シードフレーズを大量に収集するだけで攻撃を実行できる。
ユーザーは機密情報を入力する前にすべてのURLを独自に確認し、出金ツールは、手動で入力したURLからのみ使用し、メールのリンクからは絶対に使用しない。リンクからアクセスしたページには、シードフレーズを入力しないよう、注意が必要だ。
