「無料でNFTがもらえると思ってウォレットを接続したら全資産が消えた」「エアドロップのサイトでシードフレーズを入力してしまった」──NFT・エアドロップ詐欺は巧妙な罠で仮想通貨ユーザーを狙います。
被害が急増するNFT詐欺・エアドロップ詐欺の6つの手口と、ウォレットを守るための具体的な対策を徹底解説します。
NFT・エアドロップ詐欺 被害実態【2026年最新】
約37億ドル
2022年 NFT詐欺による世界の被害総額
数秒〜数分
ウォレットドレイナーで全資産が消えるまでの時間
Discord経由
NFT詐欺の主な勧誘経路(偽mintリンクの拡散)
若年層に集中
NFT・Web3ユーザー層(10〜30代)が主な標的
この記事でわかること
- NFT・エアドロップ詐欺の6つの手口パターンと被害の仕組み
- ウォレットドレイナーの仕組みと即座に資産が消える理由
- 被害に遭う前に必ず確認すべきチェックリスト
- ウォレットを守るための具体的な設定・行動指針
- 被害後の対処法と回収の可能性
NFT・エアドロップ詐欺とは
NFT詐欺・エアドロップ詐欺とは、「無料でNFTやトークンがもらえる」「人気プロジェクトのミントに参加できる」という名目でユーザーをフィッシングサイトへ誘導し、ウォレット接続・不正な承認操作を通じて資産を盗む詐欺の総称です。
被害が起きる仕組み(基本パターン)
STEP 1
偽サイトに誘導される(Discord・Twitter・メール)
STEP 2
「ウォレット接続」を求められる
STEP 3
不正なスマートコントラクトへの「承認」をクリックしてしまう
STEP 4
ウォレット内の全資産が数秒〜数分で引き出される
この「承認(Approve)」操作がすべての鍵です。ユーザーが知らずに「全資産の引き出し権限」を詐欺師に与えてしまう仕組みになっています。
6つの手口パターン詳細
手口① 偽ミントサイト型(最多・最高額被害)
人気NFTプロジェクトの公式ミントサイトを完全にコピーした偽サイトへ誘導するパターン。
BAYC・CryptoPunks・Azukiなど人気NFTプロジェクトの公式サイトに見せかけた偽サイトを作り、Discordやツイートで偽のミントURLを拡散。ウォレットを接続してミントボタンを押すと、NFT購入ではなく全資産引き出し承認のトランザクションが実行される。
よく使われる手口
- 公式と1文字だけ違う偽ドメイン(azuk1.io、bayc-mint.comなど)
- Discordのサーバーでモデレーターを装ったボットが偽URLを投稿
- 「48時間限定ミント!今すぐここから→[偽URL]」とDMで送りつける
見分け方
- 公式URLは必ずプロジェクトの公式Twitter(X)・公式Discord・OpenSeaから確認
- トランザクション承認前に「何を承認しているか」を必ず確認する
- Discordのリンクは公式アナウンスチャンネル以外のものを信用しない
手口② 偽エアドロップ型
「無料でトークン・NFTを配布します」という名目でウォレット接続・承認を要求するパターン。
「あなたのウォレットはエアドロップの対象です」「今すぐ受け取りページでウォレットを接続してください」とメール・Twitter・Discordで誘導。接続・承認すると資産が全部引き出される。既存ユーザーのウォレットアドレスを使って「個別にエアドロップ対象」と見せかけるケースも多い。
よく使われる文句
- 「おめでとうございます!あなたのウォレットは500USDTのエアドロップ対象です」
- 「Uniswap・Aaveの新トークンのエアドロップが始まりました」
- 「NFTを無料ミントしてください。ガス代だけ負担してください」
見分け方
- 突然「エアドロップ対象です」と連絡が来ても、公式発表がなければ詐欺
- 「ガス代だけ払えばもらえる」も罠。承認操作で全資産が狙われる
- エアドロップ情報は必ず公式サイト・公式SNSで確認する
手口③ NFT送りつけ詐欺(ダスティング)型
ウォレットに見知らぬNFTを一方的に送りつけ、インタラクションを誘って資産を盗む手口。
ウォレットに突然「高額なNFT」「無料プレゼントNFT」が届く。そのNFTの画像・リンクに「このNFTを売却・転送するにはこちらで承認してください」というフィッシングサイトへのURLが埋め込まれている。クリック・承認すると全資産が引き出される。
手口の特徴
- ウォレットに突然「CLAIM YOUR PRIZE」「FREE ETH GIFT」などのNFTが届く
- NFTの説明・画像にフィッシングURLが書かれている
- 「このNFTを換金するには」という名目でサイトへ誘導する
見分け方・対策
- 見知らぬNFTが届いても絶対にインタラクションしない
- OpenSeaなどの設定で「迷惑NFTを非表示」にしておく
- 不審なNFTをクリックするだけでも情報が抜かれるリスクがある
手口④ 偽OpenSea・偽マーケットプレイス型
OpenSeaやMagicEdenなどの主要NFTマーケットプレイスを偽装したサイトへ誘導するパターン。
「人気NFTが特価で売られている」「限定セールが行われている」という情報とともに偽のマーケットプレイスへ誘導。「購入ボタン」を押すと実際には全資産承認のトランザクションが発動する。NFTを「買った」つもりで資産を全部失う。
よく使われる手口
- 「opensea-sale.io」など偽ドメインへ誘導するSNS広告
- 「フラッシュセール:有名NFTが90%オフ!今すぐ→[偽URL]」
- Googleの検索広告に偽マーケットプレイスが表示される(Ad詐欺)
見分け方
- OpenSeaの正規URLは「opensea.io」のみ。必ずブックマークから開く
- Google検索の上位広告リンクは偽サイトの可能性がある。クリック前にURLを確認
- 「安すぎる価格」「緊急セール」は詐欺サイトの演出と疑う
手口⑤ Discordハック・なりすまし型
NFTプロジェクトの公式Discordサーバーをハックして偽情報を流すパターン。
NFTプロジェクトの公式Discordのモデレーターアカウントをハックし、公式アナウンスチャンネルから「緊急ミント情報」「限定エアドロップ」などの偽情報と偽URLを投稿する。公式チャンネルからの投稿のため、ユーザーが信用してクリックしてしまう。
事例
- Bored Ape Yacht Club公式Discordがハックされ数億円の被害が発生(2022年)
- 「モデレーターから」のDMで「限定ミントに招待します」と誘導する手口
- 公式botを装って「ウォレット認証が必要です」と促す
見分け方
- 公式DiscordのURLはプロジェクト公式Twitterで必ず確認する
- 「急なミント情報」は公式Twitter・公式サイトとのクロスチェックが必須
- DiscordのDMで「ウォレット認証」を求める連絡はすべて詐欺
手口⑥ 偽コレボ・インフルエンサー詐欺型
有名NFTクリエイター・インフルエンサーとのコラボを装った偽プロジェクトで資金を集める。
有名NFTクリエイターやインフルエンサーの名前を無断使用して「コラボNFT」を立ち上げ、ミント代・参加費を仮想通貨で集める。立ち上げ後に開発者が資金を持ち逃げする(ラグプル)か、最初から詐欺目的のプロジェクトとして構成される。
よく使われる手口
- 有名クリエイターのアート・名前を無断使用してツイートで宣伝
- 「有名アーティスト×NFTプロジェクト 限定1,000体ミント開始!」
- 報酬を払って仮想通貨インフルエンサーに宣伝させる
見分け方
- コラボ情報は必ず双方の公式アカウントで発表されているか確認
- 「インフルエンサーが勧めているから安心」は最も危険な思い込み
- 開発チームが匿名・顔なし・実績なしのプロジェクトは高リスク
ウォレットドレイナーの仕組み
NFT詐欺の核心にある「ウォレットドレイナー(Wallet Drainer)」の仕組みを理解することで、なぜ「接続するだけ」で資産が消えるのかがわかります。
① setApprovalForAll(全資産承認)
スマートコントラクトの「setApprovalForAll」関数を承認すると、そのコントラクトが保有するウォレット内の全NFTを自由に操作できる権限を与えてしまいます。「Approve All」「Set Approval For All」という表示が出たら即キャンセル。
② Permit(署名による承認)
ERC-20トークン(ETH・USDCなど)に対して「署名(Signature)」を行うだけでトークンの転送権限を与えられる。ガス代不要で署名できるため被害者が軽視しがちだが、署名後即座に全トークンが引き出される。
③ Approve(個別トークン承認)
特定のトークンの全残高操作権限を与える。「Approve: unlimited amount」と表示された場合は無制限承認を意味し、ウォレット内の全残高が対象になる。
⚠️ 承認前に必ず確認すること
MetaMask等の承認画面で「何を承認しているか」を必ず確認してください。「Approve All」「Unlimited」「setApprovalForAll」という文字が見えたら、即座にキャンセルしてウォレットを切断してください。
被害を防ぐチェックリスト
| チェック項目 | 危険度 |
|---|---|
| 承認画面に「setApprovalForAll」「Approve All」「Unlimited」が表示されている | 最高 |
| ウォレットにシードフレーズの入力を求めるサイトがある | 最高 |
| 公式確認なしにDiscord・DM・ツイートのミントURLをクリックした | 高 |
| 「無料でNFT・トークンがもらえる」URLにウォレットを接続した | 高 |
| ウォレットに見知らぬNFTが届いてクリックした | 高 |
| NFTサイトのURLが公式と少し異なる | 高 |
| 接続しているウォレットの承認リストを定期的に確認していない | 中〜高 |
ウォレットを守る具体的な対策
① ハードウェアウォレットで主要資産を保管する
Ledger・Trezorなどのハードウェアウォレットに主要な資産を移す。ハードウェアウォレットは物理的な承認が必要なため、フィッシング詐欺による自動引き出しを防げる。
② NFT操作用の「使い捨てウォレット」を用意する
新しいNFTプロジェクトのミント・エアドロップ受け取りには、主要資産とは別の「使い捨てウォレット」を使う。被害を受けてもダメージが最小限に抑えられる。
③ 承認リストを定期的に確認・削除する
Revoke.cash(revoke.cash)や Etherscanの Token Approval Checker で現在の承認リストを確認し、不審な承認を削除する。過去に接続したサイトが後から悪用されるリスクを減らせる。
④ URLを必ずブックマークから開く
OpenSea・MetaMask・主要取引所は公式URLをブックマークに登録し、必ずそこから開く。検索エンジンやSNSのリンクからは絶対に開かない。
⑤ 承認前に必ず内容を確認する
どんな理由があっても、承認画面に「setApprovalForAll」「Unlimited」が表示されたら即キャンセル。承認内容が理解できない場合は絶対に承認しない。
被害後の対処と回収の可能性
STEP 1|残存資産を新しいウォレットへ即時移動
承認してしまったウォレットのシードフレーズは漏洩しています。新しいウォレットを作成し、残っている資産をすべて移動してください。時間との戦いです。
STEP 2|被害の証拠を保全する
Etherscan・TRONSCANで送金TXIDを確認・保存。接続したサイトURL・承認したトランザクション・やりとりのスクリーンショットをすべて保存。
STEP 3|不正な承認を今すぐ削除する
Revoke.cashで承認リストを確認し、不審なコントラクトの承認をすべて削除する(残存資産への追加被害を防ぐため)。
STEP 4|専門調査会社・警察に相談する
ブロックチェーン解析で詐欺師のウォレットを追跡し、取引所着金を確認。警察にも被害届を提出する。
回収の可能性は?
NFT詐欺・エアドロップ詐欺はスマートコントラクトを通じた即時引き出しのため、回収は困難なケースが多い。ただし、資金が主要取引所に着金している場合は法的手続きによる凍結・回収の可能性があります。早期相談が鍵です。
よくある質問
Q. ウォレットを「接続しただけ」で資産が消えますか?
A. 接続だけでは消えませんが、接続後に表示されるトランザクションに「承認(Approve)」してしまうと資産が消えます。接続後に何かを承認する前に、必ず承認内容を確認してください。「setApprovalForAll」「Unlimited」が表示されたら即キャンセルです。
Q. 偽ミントサイトでNFTを「買った」つもりが資産が全部消えました。なぜですか?
A. 偽サイトでは「NFT購入」のように見せかけて、実際には「全資産の引き出し承認」トランザクションを実行させています。MetaMaskの承認画面の内容を確認せずに「承認」を押してしまうと、全資産が詐欺師のウォレットに転送されます。
Q. 見知らぬNFTがウォレットに届きました。どうすればいいですか?
A. 絶対にクリック・インタラクションしないでください。OpenSeaなどの設定で非表示(Hidden)にして放置するのが最善です。NFTが届くこと自体は問題ありませんが、そのNFTを操作しようとすると詐欺サイトへ誘導されます。
Q. 被害に遭った直後にすべき一番重要なことは何ですか?
A. 被害を受けたウォレット内に残っている資産を、今すぐ新しい別のウォレットに移動させることです。同じウォレットに残した資産はまだ狙われています。移動後にRevoke.cashで承認削除→証拠保全→専門家相談の順で進めてください。
BLOCKCHAIN INVESTIGATION
NFT・エアドロップ詐欺の被害、
まず無料で回収可能性を診断します
「もう取り戻せない」と諦める前に、専門家に相談してください。
ブロックチェーン解析で資金の流れを追跡し、取れる選択肢をご案内します。
詐欺被害の調査・回収サポート専門チームが無料初回相談を受け付けています。
相談内容はすべて秘密厳守です
まとめ
- NFT・エアドロップ詐欺は「ウォレット接続+承認」を悪用してウォレット内の全資産を盗む
- 承認画面に「setApprovalForAll」「Unlimited」が出たら絶対にキャンセル
- URLは必ずブックマークから。Discordのリンクは公式チャンネル以外を信用しない
- 主要資産はハードウェアウォレット、NFT操作は使い捨てウォレットで分離する
- 被害後は残存資産を即移動→Revoke.cashで承認削除→専門家相談の順で動く
