ブロックチェーンセキュリティ企業Scam Snifferの最新データによると、昨年、世界の仮想通貨フィッシングによる被害額は80%以上減少しました。ウォレットドレイン型フィッシング攻撃による被害総額は8,385万ドルに達し、世界中で10万6,106人が被害を受けました。.
フィッシング レポートによるとフィッシング詐欺により 330,000 人以上のユーザーから 5 億ドル近くが盗まれた 2024 年と比較して、盗まれた資金は 83% 減少し、被害者は 68% 減少しました。
Web3セキュリティグループは、この減少は昨年の強気と弱気の混合市場サイクルの結果である可能性が高いと述べた。このサイクルでは、フィッシング活動は市場パフォーマンスがピークに達したときに増加し、ブロックチェーンネットワークでのユーザーエンゲージメントが低下したときに減少した。.
暗号資産市場の評価額低下でフィッシング詐欺師が「追い払われる」
Scam Snifferの分析とチャートデータに tracと、市場が低迷していた第1四半期の被害額は2,194万ドルで、被害者数は22,000人強でした。第2四半期に市場が回復し始めると、フィッシング被害額は約21,000人から1,778万ドルに減少しました。.
第3四半期は、 Bitcoin12万3000ドルのピーク時)、 Ethereum(8月に史上最高値4946ドルを記録)など、複数の資産がtron上昇を見せたため、市場参加者にとって最も危険な時期でした。価格上昇と強気相場の環境はフィッシング詐欺の急増を招き、損失額は3104万ドルに達し、4万人の被害者に影響を与えました。.
8月と9月だけで年間損失総額の29%を占め、この四半期は攻撃者にとって最も活発な時期となりました。しかし、最終四半期にはフィッシングによる損失額が1,309万ドルに減少し、2025年で最も静かな時期となりました。.
Permit / Permit2 は署名フィッシング窃盗の手法をリードしている
昨年9月に発生したフィッシング詐欺による額はbitcoinデリバティブが盗まれました。攻撃者は「パーミット型署名」と呼ばれる手法を用いており、100万ドルを超える被害額の38%を占めています。
Permit/Permit 2 署名により、直接の転送なしでトークンの使用承認が可能になります。攻撃者はこれを利用して、悪意のある許可を偽装し、正当なプロンプトとして表示し、トークン所有者を騙して疑問なく承認させます。.
その他の事例としては、5月に承認エスカレーションの手法を用いて313万ドル相当のラップド Bitcoin が盗難された事件や、8月には直接送金の脆弱性を突いたステーブルコインの305万ドルの損失事件などが挙げられます。しかし、100万ドルを超えた件数は、前年の30件から減少し、わずか11件にとどまりました。.
データでは、被害者一人当たりの平均損失額も減少しており、昨年の約1,500ドルから790ドルに下がったことも示されている。.
この報告書は署名ベースのウォレットドレイン攻撃に焦点を当てていますが、最も忘れられない事例の一つは2月に発生したものです。Lazarus GroupがBybit仮想通貨取引所内のマルチ署名ウォレットプロバイダーを通じて開発者マシンに侵入したのです。署名インターフェースに悪意のあるコードが挿入され、攻撃者は正当な承認を偽装して約14億6000万ドルを盗み出すことができました。
サプライ チェーン攻撃も最も広く使用された方法の 1 つであり、攻撃者はフィッシング メールを通じて開発者のdent情報を盗み、オープン ソース パッケージに悪意のあるコードを挿入し、数百のソフトウェア ライブラリにバックドアを設置し、個人情報やセキュリティdent情報を盗み出しています。.
フィッシングハッカーが使用したその他のキャンペーンには、フロントエンドインターフェースの侵害、ソーシャルメディアアカウントの乗っ取り、秘密鍵や認証データを盗むためのマルウェアの拡散などが含まれていました。.
2025年はGoogleタスク通知フィッシング詐欺で幕を閉じました
その他のニュースとしては、12月にハッカーがGoogleのクラウドベースのインフラストラクチャを悪用して製造業の3,000以上の組織を標的とした、巧妙な電子メールフィッシング攻撃で年が終わったという。.
複数のユーザーから、本物のタスク通知を装ったメールが届き、緊急の「全従業員タスク」の完了を促されたという報告がありました。「タスクを表示」または「完了としてマーク」というボタンをクリックすると、信頼できるクラウドストレージサービスでホストされている悪意のあるページにリダイレクトされました。.
メッセージは正規のアプリケーション統合ツールを使用して送信されたため、すべての主要な電子メール認証チェックを通過し、セキュリティ ゲートウェイを検知されることなく通過しました。.
