危険度 5 / 5 · ウォレット承認

偽エアドロップと承認による窃取:なぜ「無料の通貨を受け取る」だけでウォレットが一夜にして空になるのか

ScamLens 編集部 ✓ 最終確認 2026年5月読了の目安約10分

無料トークンの贈り物が舞い降り、それに手を伸ばす人。贈り物の下にはウォレットを吸い出す見えない糸がつながっている。偽エアドロップの承認窃取を象徴する図 — 偽エアドロップは、あなたの通貨を奪うのではありません。ウォレットを動かす権限を「自らの手で」差し出させるのです。あなたが押したその確認こそ、本当のスイッチです。

「無料エアドロップ受け取り」——この言葉は、おそらくオンチェーンで最も高くつく「無料」です。偽エアドロップが突くのは、単なる欲ではありません。ほとんどの人が、ウォレットに出てくるあの確認の列が、いったい何を確認しているのか読めない、という事実を利用するのです。通貨を受け取っているつもりが、実は見知らぬコントラクトに「今後、私のUSDTを自由に動かしてよい」という同意書に署名しているのです。この記事では、ウォレットの低レベルの技術には踏み込まず、ただ一つのことを説明します。あの「承認(approve)」ボタンがなぜこれほど危険なのか、そしてどう引っかからないか、です。

まずこの数点を覚えてください。

偽エアドロップによる窃取の核心は「送金させること」ではなく、承認(approve)に署名させることです。承認を一度与えると、詐欺師はその後いつでも対応するトークンを移せます。
ほとんどの承認は既定で上限なしの金額・長期有効です。だから一度の署名だけで、ウォレット内のあるトークンが少しずつ、あるいは一気に空にされ得ます。
ウォレットに突然増えたトークンの9割は餌です。「受け取り」「交換」をしないこと。エアドロップに参加するなら独立した小さなウォレットを使い、大きな資産はコールドウォレットに置きます。

偽エアドロップ詐欺とは何か

エアドロップそのものは実在します。一部のプロジェクトは、初期ユーザーや条件を満たすウォレットに、宣伝と配布のためトークンを無料で配ります。問題は、この善意の仕組みが、詐欺師にそっくり真似されて餌に仕立てられていることです。

偽エアドロップの台本はたいていこうです。あるグループ、あるツイート、あるDMで「○○プロジェクトのエアドロップ受付開始、先着順」と見かける、あるいはウォレットを開くといつの間にか、まともそうな名前のトークンが増えている。案内をたどって受け取りページに入り、ページが「ウォレットを接続」させる——ここまではまだ何も起きていません。本当の罠は次の一歩です。確認ウィンドウが出て、文面には「受け取り」「有効化」「資格確認」と書かれていますが、あなたが押すそれは、実は承認取引への署名なのです。

この瞬間から、詐欺師はあなたの秘密鍵もリカバリーフレーズも要らずに、ウォレット内の対応トークンを移せます。あなたは「何も送金していないのに」と感じることさえあります——そのとおり、あなたは送っていません。ただ、他人に「送る権限」を与えただけなのです。

まず「承認(approve)」をやさしく言うと

ウォレット内のトークン(USDTや各種ERC-20トークンなど)には、こういう仕組みがあります。ある分散型アプリ(DApp)で、あるトークンを使いたいとき——取引や、ステーキングなど——まずそのアプリのコントラクトに「このトークンを動かしてよい」と「承認」する必要があり、その後はじめて、あなたが操作を始めたときにそれが移転を代行できます。これはDeFiが正常に動くために必要な一歩で、それ自体は悪いものではありません。

厳密ではありませんがわかりやすい例えを言うと、承認は、ある加盟店に銀行カードの自動引き落とし権限を開くようなものです。開けば、その加盟店は取り決めの範囲で、毎回パスワードを入れなくてもカードから引き落とせます。ここで問題が——

本当に致命的なのは「金額」と「期限」の2つ

多くの承認要求は、既定で上限なしの金額(とんでもなく大きい数字の羅列、あるいは「unlimited」とそのまま書かれます)を申請し、しかも期限がありません。やさしく言えば、「最大100円まで」の引き落としを開いたのではなく、「このカードのこの種のお金は、好きなだけ引き落としてよい、永久に有効」を開いたのです。権限を開く相手が詐欺師のコントラクトなら、いつ来てこのトークンを全部移すかは、完全に相手の判断次第です。

これが、「ずっと操作していないのに、ウォレットが突然空になった」という人が多い理由です——承認は数か月前に署名したもので、詐欺師はただ刈り取る時を選んだだけ。承認は時間が経っても自動では失効しません。あなたが自分から取り消さない限り、ずっとそこにぶら下がっています。

署名と承認は、どこが違うのか

多くの人は、ウォレットに出るすべての確認をひとまとめに「署名」と呼びますが、実は別物で、危険度も異なります。

	通常のオフチェーン署名(signature)	承認 / 取引(approve)
よくある用途	「このウォレットは自分のもの」と証明する。DAppへのログイン、ホワイトリスト参加など	コントラクトに、あるトークンを動かす権限を与える
オンチェーンか	多くはオンチェーンでなく、ネットワーク手数料もかからない	オンチェーンで記録され、ネットワーク手数料(gas)が必要
直接資産を動かすか	通常は直接動かさない	承認後、相手は権限の範囲で対応トークンを移せる
フィッシング時のリスク	詐欺師は「無害に見える」署名を作り、実は承認や資産移転と同等	上限なし+長期有効なら、一度であるトークンを空にできる

注:ウォレットやチェーンによって、署名と承認の表示のされ方は少し異なります。共通の安全原則は一つだけ——内容が読めない確認は一切押さず、まず何を要求しているのかをはっきりさせること。

ここで油断を戒める一言を補います。「オフチェーン署名はオンチェーンでなく、お金もかからない」ことは必ずしも安全を意味しません。詐欺師は「あなたの資産の移転を許可する」のと同等の要求を、一見人畜無害な署名ウィンドウ(gasもなく、「approve」の文字もない)に包んで、警戒を緩めさせて押させます。だから判断基準は「お金がかかるかどうか」ではなく、あなたがそれが何を要求しているか理解しているか、相手は信頼できるアドレスかです。

3つの盗み方

同じ偽エアドロップでも、引っかける入口は少しずつ違います。これらの形を見分けられれば、早めにブレーキを踏めます。

① 偽の受け取りページで承認に署名させる

最もよくある手口。プロジェクト公式そっくりの「エアドロップ受け取りページ」で、ウォレットを接続するとすぐ確認が出ます。一見「通貨を受け取っている」ように見えて、実際にはウォレット内のUSDTや主要トークンへの承認を要求しています。ページはカウントダウンや「残りN枠」で、細かく見ずに押すよう急かすことが多いです。

② 偽トークン/偽NFTがウォレットに入り、操作へ誘う

あなたは何もしていないのに、ウォレットに突然トークンやNFTが増えます。その名前や画像にURLが埋め込まれ、「このサイトで受け取って/交換して」と呼びかけているようです。言われるままそのサイトで操作すると、本当の承認の罠がそこで待っています。資産自体はウォレットに寝ていても害はなく、そのサイトで操作することが害になるのです。

③ 偽の「リスク解除/承認チェック」ページ

これは、すでに警戒している人を狙う手口です。「承認の安全チェック」「危険な承認をワンクリックで解除」というツールを装い、危険な承認をスキャンして取り消すと称します。ところが、あなたが押した「解除」自体が、新たな悪意ある承認なのです。安全の旗を掲げて、逆のことをします。

この信号が見えたら、手を止める

次に当てはまるほど、警戒すべき

ウォレットに、買った覚えも参加した覚えもないトークンやNFTが突然現れ、名前にURLが入っている。
「エアドロップ受け取り」に、まずウォレット接続と、内容の読めない確認への署名が必要で、特に内容に approve・unlimited・大きな数字の羅列が絡む。
ページがカウントダウン、枠の限定、「今すぐ有効化しないと無効」で、細かく見ずに押すよう急かす。
リンクが見知らぬDM、グループの「管理者」、短縮URLから来ており、自分で見つけた公式の経路ではない。
「危険な承認を検査/解除できる」と称しながら、もう一度署名させようとする。

単独で覚えておく価値のある経験則が一つ。本物のプロジェクトは急かしません。まともなエアドロップは、受け取り期間があっても「今押さないと終わり」という言葉で、3秒以内にウォレットを接続して何かに署名させたりはしません。急かすほど、罠である可能性が高くなります。

エアドロップに参加する安全な姿勢

エアドロップを完全に避けろということではありません——「万一引っかかっても、損失が限られる」ように、前もって備えておくということです。

エアドロップや新規プロジェクトを試す専用に、独立した小さなウォレットを用意し、そこには失っても許せる少額だけを置き、大きな資産は入れません。
署名する前にウィンドウを一読します:これは署名か承認か? 相手はどのコントラクトアドレスか? 金額は上限なしか? 読めなければそのままキャンセルします。
金額を設定できるときは、承認に「足りる分だけ」の金額を設定し、既定の上限なしを通さないようにします。
定期的に承認管理ツールで見直し、古い承認を取り消します:もう使わないDAppや出所不明のコントラクトの権限を整理し、ぶら下げたままにしません。
本当に価値ある資産はコールドウォレット(ハードウェアウォレット)に置き、日常の操作用ホットウォレットと物理的に分離します。ホットウォレットが被害に遭っても、コールドウォレットには火が回りません。
ウォレットに突然増えたものは、存在しないものとして扱い、押さない・受け取らない・交換しないこと。

一行で言うと

ウォレットの安全の本当の境界線は「自分が騙されるかどうか」ではなく、「一つひとつの確認に署名する前に、それが何を要求しているか理解したか」にあります。「読めなければキャンセル」を体に染み込ませれば、ほとんどの承認窃取は入ってこられません。

すでに承認に署名してしまったら、今すぐこれを

怪しいページで承認に署名してしまったかもしれない、と気づいたら、「本当に被害が出るか」で悩まず、次の順番どおりに、できるだけ速く処理してください。

まず大きな資産を救出する

ウォレットに大きな金額があるなら、最初の動作は取り消し方を調べることではなく、価値ある資産を、怪しいサイトで一度も操作していない真新しいウォレットへすぐ移すことです。承認の取り消しには時間がかかり、資産移転のほうが直接的です。

その怪しい承認を取り消す(revoke)

承認管理ツールで、怪しいアドレスへの承認を見つけて取り消します。注意:取り消し自体がネットワーク手数料の必要なオンチェーン取引です。混雑時は手数料を十分に付けて、取り消しが途中で止まらないようにします。

ついでにすべての怪しい承認を整理する

調べるついでに、出所不明で長く使っていない承認をまとめて取り消し、ほかの隠れた危険を見逃さないようにします。

このウォレットは以後、格下げして使う

怪しいサイトで何かに署名したウォレットは、信頼度が下がっています。重要な資産は新しいウォレットで管理し、この古いものは少額の試し用・実験用にとどめます。

証拠を残し、必要なら相談・通報する

怪しいサイトのドメイン、取引ハッシュ、チャット履歴をスクリーンショットで保存します。被害後の証拠保全・損切り・相談の流れは詐欺に遭ってしまったらを参照してください。日本では消費者ホットライン188(国民生活センター)や警察庁のサイバー窓口に相談できます。

「取り戻してあげる」という二次被害に乗らない

ウォレットが盗まれた話が広まると、すぐに「盗まれた資産を取り戻せる」「先に少し手数料を払えばいい」とDMしてくる人が現れます。これはほぼすべて、被害者を狙った二次被害です。当サイトのUSDTの「回収・凍結解除」詐欺の解説を参照してください。

よくある質問

ウォレットに突然増えたトークンは、売れますか?

まず触らず、どのページでも「受け取る」「交換する」をしないでください。こうした突然現れるトークンは餌として使われることが多く、トークン名にURLが含まれ、フィッシングサイトでウォレットを接続させ承認に署名させようと誘導します。あなたが関わらなければ、それはウォレットの中で寝ているだけの数字で、それ自体で資産を失うことはありません。誘導されてそのサイトで承認に署名した瞬間に、本物の資産が危険にさらされます。

署名(signature)と承認(approve)の違いは何ですか?

通常のオフチェーン署名は、たとえばDAppへのログインのように「このウォレットは自分のもの」と証明するのに使われ、それ自体は直接資産を動かしません。一方、承認(approve)はブロックチェーンに記録される取引で、あるコントラクトアドレスに「今後あなたのウォレットの特定トークンを動かせる」権限を与えることに相当します。危険なのは、承認は上限なしの金額かつ長期有効に設定でき、詐欺師は承認を得れば、あなたが気づかないうちに対応するトークンを移せる点です。さらにフィッシングサイトは、無害に見えて実は承認や資産移転と同等の特殊な署名も作るため、内容が読めない署名は一切確認しないでください。

怪しいページで承認に署名してしまいましたが、まだ移されていません。間に合いますか?

素早く動けば間に合う可能性があります。すぐに承認管理ツールで、その怪しいアドレスへの承認を取り消し(revoke)、ウォレット内の価値ある資産を、怪しいサイトで一度も操作していない真新しいウォレットへ移してください。取り消し自体も、ネットワーク手数料が必要なオンチェーン取引です。資産が大きい場合は、まず資産を移し、その後に取り消しを処理するのが最も安全です。

ハードウェア(コールド)ウォレットを使えば、承認窃取は怖くないのですか?

ハードウェアウォレットは秘密鍵が盗まれるのを防ぎますが、あなたが自らの手で署名した悪意ある承認は防げません——ハードウェアウォレットでフィッシングサイトに接続し、上限なしの承認を確認すれば、相手は同じように対応トークンを移せます。コールドウォレットの正しい使い方は、資産を置くだけで日常の操作はなるべく少なくすることです。オンチェーンであれこれ試したいなら、分離した小さなホットウォレットを使ってください。

入口からリスクの露出を減らす

オンチェーンで読めない承認に署名し続けるより、大きな資産は正規の経路に置く

承認窃取が多発するのは、全財産を、毎日あちこちで操作するホットウォレット一つに置いている人が多いからです。より安全なのは、日常の少額の遊びは独立した小さなウォレットで行い、長く持ちたい資産は正規の大手取引所の公式の経路で管理することです。OKXは主要な取引所の一つで、下記の公式の入り口から確認できます。公式ドメインは okx.com です。

OKX公式の入り口を確認する取引所が正規かどうかの見分け方

当サイトの招待コード OK1717 でOKXに登録すると、取引手数料が20%割引になります(取引手数料の割引であり、投資収益ではありません。OKXが提供し、割引率はOKXの公式方針により変わる場合があります。公式条件が優先されます)。ScamLensはOKXのアフィリエイトパートナーであり、あなたから費用はいただかず、投資助言も行いません。公式ドメイン okx.com を必ずご確認ください。

続けて読む

偽取引所・フィッシングのなりすましサイト——偽エアドロップの受け取りページも、本質はフィッシングのなりすましサイトの一種です。
アドレスポイズニング(送金先アドレスのすり替え)——同じくオンチェーンで起き、狙うのもウォレット内の資産です。
偽プレセールとラグプル(rug pull)——同じくオンチェーンで起きますが、狙うのは承認ではなく元手そのものです。
詐欺に遭ってしまったら——承認が盗まれた後の損切り・証拠保全・相談の完全な流れ。