# ウェブ3.0モバイルウォレット新型フィッシング攻撃:モーダルフィッシング最近、私たちは、分散型アプリケーション(DApp)に接続する際の認証プロセスを特に狙った新しいフィッシング技術を発見しました。この新しいフィッシング技術を「モーダルフィッシング攻撃」(Modal Phishing)と名付けました。この攻撃では、不正な者がモバイルウォレットに偽の情報を送信し、正当なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに悪意のある取引を承認させるように誘導します。このフィッシング技術は現在広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを軽減するための新しい検証APIを公開する予定です。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシングとは?モバイルウォレットのセキュリティ研究において、私たちはウェブ3.0ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに注意しました。モーダルフィッシングと呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして攻撃を展開するからです。モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリのメインウィンドウの上部に表示されます。このデザインは、ユーザーが迅速に操作できるようにし、ウェブ3.0ウォレットの取引リクエストを承認または拒否するのに便利です。典型的ウェブ3.0ウォレットモーダルデザインは、署名リクエストなどのユーザー確認に必要な情報を提供し、承認または拒否のボタンを備えています。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)しかし、これらのユーザーインターフェース要素は攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を「安全な更新」などの合法的に見える操作に偽装し、ユーザーに承認させるように誘惑します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)## 攻撃事例### ケース1:ウォレットコネクトを介したDAppフィッシング攻撃ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセスでは、ウェブ3.0ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者は合法的なDAppを偽装し、ユーザーを騙して接続させることができます。ペアリングプロセス中、被害者が偽のウェブサイトで操作をしようとすると、攻撃者は取引リクエストパラメータ(例えば、送金先アドレスや金額)を置き換えて資金を盗むことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)### ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskの承認モーダルには、取引タイプを表示するUI要素があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これにより攻撃者が制御できる別のUI要素も作成されます。攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを"SecurityUpdate"などの誤解を招く名前として登録できます。MetaMaskがこのコントラクトを解析すると、それは承認モーダルでユーザーにこの名前を表示し、取引リクエストが"MetaMask"の"セキュリティ更新"からのものであるかのように見えます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)## 予防に関する推奨事項1. ウォレットアプリの開発者は常に外部からの入力データは信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認するべきです。2. ユーザーは、未知の取引要求に対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。3. ウォレットコネクトなどのプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討すべきです。4. ウォレットアプリは、フィッシング攻撃に使用される可能性のある誤解を招く言葉をフィルタリングする予防措置を講じるべきです。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)要するに、ウェブ3.0ウォレットのユーザーインターフェースの特定の要素は攻撃者によって操作され、見た目上は本物のフィッシングトラップを作り出す可能性があります。ユーザーと開発者は警戒を高め、ウェブ3.0エコシステムの安全を共に維持するべきです。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
ウェブ3.0モバイルウォレットの新型フィッシング攻撃に警戒せよ:モーダルフィッシングの襲来
ウェブ3.0モバイルウォレット新型フィッシング攻撃:モーダルフィッシング
最近、私たちは、分散型アプリケーション(DApp)に接続する際の認証プロセスを特に狙った新しいフィッシング技術を発見しました。この新しいフィッシング技術を「モーダルフィッシング攻撃」(Modal Phishing)と名付けました。
この攻撃では、不正な者がモバイルウォレットに偽の情報を送信し、正当なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに悪意のある取引を承認させるように誘導します。このフィッシング技術は現在広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを軽減するための新しい検証APIを公開する予定です。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシングとは?
モバイルウォレットのセキュリティ研究において、私たちはウェブ3.0ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに注意しました。モーダルフィッシングと呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして攻撃を展開するからです。
モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリのメインウィンドウの上部に表示されます。このデザインは、ユーザーが迅速に操作できるようにし、ウェブ3.0ウォレットの取引リクエストを承認または拒否するのに便利です。
典型的ウェブ3.0ウォレットモーダルデザインは、署名リクエストなどのユーザー確認に必要な情報を提供し、承認または拒否のボタンを備えています。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
しかし、これらのユーザーインターフェース要素は攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を「安全な更新」などの合法的に見える操作に偽装し、ユーザーに承認させるように誘惑します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
攻撃事例
ケース1:ウォレットコネクトを介したDAppフィッシング攻撃
ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセスでは、ウェブ3.0ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者は合法的なDAppを偽装し、ユーザーを騙して接続させることができます。ペアリングプロセス中、被害者が偽のウェブサイトで操作をしようとすると、攻撃者は取引リクエストパラメータ(例えば、送金先アドレスや金額)を置き換えて資金を盗むことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskの承認モーダルには、取引タイプを表示するUI要素があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これにより攻撃者が制御できる別のUI要素も作成されます。
攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを"SecurityUpdate"などの誤解を招く名前として登録できます。MetaMaskがこのコントラクトを解析すると、それは承認モーダルでユーザーにこの名前を表示し、取引リクエストが"MetaMask"の"セキュリティ更新"からのものであるかのように見えます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
予防に関する推奨事項
ウォレットアプリの開発者は常に外部からの入力データは信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認するべきです。
ユーザーは、未知の取引要求に対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。
ウォレットコネクトなどのプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討すべきです。
ウォレットアプリは、フィッシング攻撃に使用される可能性のある誤解を招く言葉をフィルタリングする予防措置を講じるべきです。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
要するに、ウェブ3.0ウォレットのユーザーインターフェースの特定の要素は攻撃者によって操作され、見た目上は本物のフィッシングトラップを作り出す可能性があります。ユーザーと開発者は警戒を高め、ウェブ3.0エコシステムの安全を共に維持するべきです。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング