アドレスポイズニングとは？コピペ送金を狙う詐欺の仕組み

アドレスポイズニングとは？ざっくりと3行で

取引履歴に偽のウォレットアドレスを混ぜ込み、コピペ操作の瞬間を狙って誤送金させる詐欺攻撃だ
アドレスの先頭・末尾数文字だけを表示するUIの省略仕様という盲点を、攻撃者は巧みに突いてくる
被害に気づくのは送金後のことが多く、ブロックチェーンの不可逆性から資産を取り戻すのはほぼ不可能と心得よう

アドレスポイズニングの手口を4コマ漫画で解説。取引履歴に混入した偽アドレスへのコピペ送金で資産を失う場面を描いている。 — ①履歴からコピペすれば安全と思い込み、アドレスの確認を省略する送金者。②黒幕が先頭と末尾だけ一致する偽アドレスを履歴にこっそり紛れ込ませる。③送金完了後に画面を見て初めて異変に気づき、全桁確認を怠ったことを悟る。④ブロックチェーンへの記録は即時かつ不可逆であり、取り消し手段は存在しない。

この漫画が描くのは、架空の出来事ではありません。アドレスポイズニングは現在進行形で被害が増加しており、2024年には単一の攻撃で約68億円相当が詐取された実例があります。

攻撃の本質は、ウォレットの表示省略仕様という設計上の慣習を逆用する点にあります。多くのウォレットアプリはアドレスの先頭と末尾の数文字しか表示しないため、中間部分が異なる偽アドレスを視覚的に見分けることが困難です。攻撃者はバニティアドレス生成ツールを使い、標的が頻繁に使う送金先と先頭・末尾が一致する偽アドレスを短時間で量産できます。

見落とされがちな点として、被害者は技術的に無知なユーザーではないという事実があります。Chainalysisの調査では、被害者は一般ユーザーより残高・経験値ともに高い傾向が確認されています。送金回数が多いほど履歴が増え、偽アドレスを混入させる隙が広がるという構造が働くためです。

そして最も深刻なのは、ブロックチェーンへの記録が即時かつ完全に不可逆である点です。誤送金に気づいた時点で、資産はすでに攻撃者の管理下にあります。送金前にアドレスの全桁を目視確認する習慣こそが、現時点で唯一確実な防衛手段といえるでしょう。

【深掘り】これだけ知ってればOK！
よくある誤解
会話での使われ方
アドレスポイズニングの歴史
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
【出典】参考URL

【深掘り】これだけ知ってればOK！

アドレスポイズニングの被害者には、セキュリティ意識の高いユーザーが多いという事実がある。Chainalysisの調査では、被害者は一般的なウォレット保有者より残高が多く、経験値も高い傾向が示されている。つまり「詳しい人ほど油断する」という逆説が成立している攻撃だ。

仮想通貨のウォレットアドレスは、ビットコインで27桁前後、イーサリアムで42桁にもなる英数字の文字列です。毎回この全桁を目視で照合するのは現実的ではなく、ほとんどのウォレットアプリは表示スペースの都合から先頭と末尾の数文字だけを見せる仕様になっています。攻撃者はまさにこの点を突きます。

手口はシンプルです。攻撃者はまず、あなたが頻繁に送金している相手のアドレスを調査します。次に、そのアドレスと先頭・末尾の4〜6文字が一致する偽アドレスをバニティアドレス生成ツールで作成します。そして、その偽アドレスからあなたのウォレットへ少額（場合によっては0円）の送金を実行することで、あなたの取引履歴に偽アドレスを滑り込ませます。あとはあなたが次の送金時に履歴からアドレスをコピーしてくれるのを待つだけです。

2023年にはアメリカの麻薬取締局（DEA）がこの攻撃の被害に遭い、捜査で押収した約5万5,000ドル相当の仮想通貨を詐欺師のアドレスへ誤送金してしまった。組織のセキュリティ担当者でさえ被害を受けるという事実は、いかにこの攻撃が巧妙かを物語っている。

2024年5月には単一の攻撃で約68億円相当のWBTC（ラップドビットコイン）が詐取された事例が世界を驚かせました。被害者はテスト送金を済ませた直後、履歴から送金先アドレスをコピーした際に偽アドレスを選んでしまったとされています。カーネギーメロン大学の研究によると、2022年から2024年の2年間でEthereumとBinance Smart Chainだけで2億7,000万回のアドレスポイズニング攻撃が確認されており、そのスケールはもはや組織的な犯罪産業の様相を帯びています。

よくある誤解

アドレスを一部でも確認していれば安心、という思い込み

先頭と末尾の数文字を確認する習慣は、むしろ攻撃者に悪用される前提で設計された罠です。バニティアドレス生成技術の向上により、先頭・末尾それぞれ6文字前後が一致する偽アドレスを短時間で生成できるようになっています。部分確認で安心してしまうと、むしろその確認行為が攻撃の完成を助けることになりかねません。送金前にはアドレス全桁の一致を確かめることが、唯一の確実な防御といえるでしょう。

これはハッキングではないのか？

技術的には、アドレスポイズニングはシステムの脆弱性を突くハッキングではありません。どちらかというとフィッシング詐欺に近い手法で、攻撃者はウォレットに侵入するのではなく、人間の確認習慣の盲点を狙います。ブロックチェーン自体のセキュリティは侵害されておらず、被害者が自らの意思で送金してしまうという構造になっています。このため、技術的な対策だけでは防ぎきれず、操作習慣の改善がセットで必要です。

経験者や大口投資家は大丈夫、という過信

Chainalysisの調査データが示すように、アドレスポイズニングの被害者は一般ユーザーより残高・経験値ともに高い傾向があります。送金回数が多いほど取引履歴が増え、偽アドレスを混入させる隙が広がるという逆説が働きます。慣れや自信がかえって確認作業のハードルを下げ、ミスを誘発する点がこの攻撃の巧妙さです。

会話での使われ方

社内の仮想通貨勉強会で、先輩が新入社員に送金時の注意点を教えている場面。

同僚二人がランチ休憩中にセキュリティニュースを話題にしている場面。短い一言でも攻撃の深刻さが伝わるトーンで語られている。

ITコンサルタントが、仮想通貨決済の導入を検討している企業の担当者に向けてセキュリティ要件を提案している商談の場面。

アドレスポイズニングの歴史

アドレスポイズニングは仮想通貨市場の成長とともに手口が洗練され、被害規模を急速に拡大させてきました。その変遷を年表で振り返ると、攻撃がいかに組織的・計画的になっているかがわかります。

年	出来事
2022年以前	バニティアドレス生成ツールが普及し始め、アドレスポイズニングの技術的な前提が整う。イーサリアムを中心に散発的な被害が報告される。
2023年1月	大手ウォレットアプリMetaMaskが公式にアドレスポイズニングへの注意喚起を発表。被害の増加が広く認知されるきっかけとなる。
2023年	米国麻薬取締局（DEA）が捜査押収資産の約5万5,000ドル相当を偽アドレスへ誤送金。行政機関でも被害が起きることが世界に知られる。
2024年5月	単一攻撃で約68億円相当のWBTCが詐取される事件が発生。被害者との交渉を経て大半が返還されたが、攻撃者は約4億円相当を手元に残した。
2024年	Chainalysisの調査で、EthereumとBSCで2022〜2024年に2億7,000万回の攻撃が確認。アドレスポイズニング詐欺への流入額が前年比15,000%以上増加したと報告される。
2025年12月	単一ユーザーが約77億円相当のUSDTをアドレスポイズニングで失う事件が発生。被害者はブロックチェーン上でハッカーへ直接返還を要求するメッセージを送った。
現在	AI検出ツールの開発が進み（TrugardとWebacyが97%の精度を実証）、ウォレット側の警告機能強化も進む一方、攻撃手法も巧妙化が続いている。

【まとめ】3つのポイント

攻撃はシステムではなく人の習慣を狙う：コピペに頼るユーザー行動こそが弱点で、技術の高さは無関係。経験豊富なユーザーほど被害に遭いやすいという逆説を忘れずに
送金前の全桁確認が唯一の確実な防衛手段：アドレスの先頭・末尾のみの確認は攻撃者の計算内。送金先は必ず直接入力か、信頼できる方法で取得した完全なアドレスを使う習慣を身につけよう
ブロックチェーンの不可逆性が被害を深刻にする：誤送金は原則として取り消せない。DEAや大口投資家の事例が示すように、どれだけ注意を払っていても一瞬の油断が取り返しのつかない損失につながることを認識しておく必要がある

よくある質問

Q アドレスポイズニングに遭ったらどうすればいいですか？: A

残念ながら、ブロックチェーン上の送金は原則として取り消せません。まず送金先の攻撃者アドレスをメモし、警察や金融庁のサイバー犯罪相談窓口、利用している取引所に被害報告を行いましょう。取引所側で攻撃者のアドレスを凍結できる場合もあります。被害金額を税務上の損失として申告できるケースもあるため、税理士への相談もあわせて検討してください。

Q アドレスポイズニングを防ぐために今すぐできる対策は何ですか？: A

最も手軽で確実な対策は3つあります。①送金先アドレスを取引履歴からコピーしない（相手から直接もらった完全なアドレスを使う）、②ウォレットの連絡先帳（アドレス帳）機能に正しいアドレスを登録して毎回そこから選ぶ、③送金前に必ずアドレスの全文字を目視で照合する、です。大口の送金前にはテスト送金も有効ですが、テスト送金の直後が最も攻撃を受けやすいタイミングでもあるため、テスト後のアドレス確認も怠らないようにしましょう。

Q 見知らぬアドレスから少額の仮想通貨が届きました。これは何ですか？: A

それはアドレスポイズニングの仕掛けである可能性が高いです。攻撃者がわざとあなたの履歴に偽アドレスを混入させるために送金してきたもので、ゼロ送金攻撃とも呼ばれます。その送金元アドレスを将来の送金先としてコピーしなければ、受け取り自体に問題はありません。ただし無視せず、該当アドレスを連絡先帳に登録してある正規アドレスと照合し、差異がないか確認するのが安全です。

Q アドレスポイズニングとフィッシング詐欺との違いは何ですか？: A

最大の違いは攻撃の入り口にあります。フィッシング詐欺はメールやSMSで偽サイトのURLを踏ませるという能動的な誘導が必要で、ユーザー自身が不審なリンクに気づく機会があります。一方アドレスポイズニングは、普段使っているウォレットの取引履歴という信頼できる場所を汚染するため、特別な操作をしなくても被害に遭います。ユーザーが主体的に確認しないと異常に気づけない点で、より静かで気づきにくい攻撃といえるでしょう。

この用語と一緒に知っておきたい用語

用語	この記事との関連
スプーフィング	送信元を偽ることで信頼を騙す手法の総称で、アドレスポイズニングの上位概念にあたる
DNS	ドメインとIPアドレスを変換する仕組みで、DNSキャッシュポイズニングという同名の攻撃でも同様の汚染手法が使われる
オープンリゾルバ	DNSキャッシュポイズニング攻撃の踏み台になる設定ミスのDNSサーバーで、アドレス汚染と根本の仕組みが共通する
クレデンシャルスタッフィング攻撃	技術よりも人の習慣の隙を突く点がアドレスポイズニングと共通するサイバー攻撃手法
ファーミング	DNSを改ざんしてユーザーを偽サイトに誘導する手法で、アドレスポイズニングと同様に「正常な操作をしているつもりが騙されている」構造を持つ

【出典】参考URL

https://www.chainalysis.com/blog/address-poisoning-scam-japanese/ ：アドレスポイズニング詐欺の被害規模・被害者特性・攻撃キャンペーンの分析データ
https://www.cryptact.com/blog/address-poisoning-explained ：アドレスポイズニングの手口・DEA被害事例・対策の解説
https://innovatopia.jp/cyber-security/cyber-security-news/59600/ ：カーネギーメロン大学の研究による2億7,000万回の攻撃件数・被害額データ
https://www.coindeskjapan.com/330079/ ：2025年12月の約77億円被害事例の詳細
https://jp.cointelegraph.com/news/crypto-scam-71m-wallet-impersonation-fund-laundering ：2024年5月の68億円WBTC被害事例の詳細
https://myforex.com/ja/news/myf26022301.html ：MetaMaskのUIとアドレスポイズニングの関係の解説
https://bittimes.net/news/202558.html ：ビットコインでのアドレスポイズニング増加・5万件の被害疑いトランザクション報告