偽の取引所は、初心者が最も引っかかりやすく、そして後から最も受け入れがたい詐欺です。巧みな売り文句に頼るのではなく、「本物そっくりに見えること」だけで成立します。あなたは取引所にログインしているつもりでも、入力したパスワードとワンタイムコードは、その瞬間に詐欺師へとリアルタイムで転送されています。この記事では、どうやって偽サイトへ誘導されるのか、なりすましサイトが使ういくつかの偽装、その場で気づける兆候、そしてすでに何かを入力してしまったときに何をすべきかを、最初から最後まで通して説明します。
- なりすましサイトと本物は見た目でほぼ区別できません。唯一あてになる手がかりは、ページの見た目ではなくアドレスバーのドメイン全体です。
- 誰か(「サポート」や「担当者」を含む)から送られてきたログインリンクやダウンロードリンクは決してタップせず、自分で保存したブックマークか、公式ドメインの手入力で開いてください。
- すでにパスワードを入力してしまった場合、速さが被害の大きさを決めます。パスワードの変更、端末セッションの解除、出金ホワイトリストの確認——一秒一秒が勝負です。
一言でいうと、これは何なのか
フィッシングのなりすましサイト(偽取引所、スプーフサイトとも呼ばれます)とは、詐欺師が本物の取引所そっくりに作り上げた偽サイトのことです。ページ、ロゴ、配色、ログイン画面、さらにはリアルタイムの価格表示まで本物と区別がつかないこともありますが、実際には詐欺師が管理する、よく似たドメインのアドレス上で動いています。
その目的はたいてい2つのどちらかです。1つめはあなたの口座を盗むこと。なりすましサイトでパスワードとSMSや認証アプリのコードを入力すると、それらがリアルタイムで転送され、詐欺師が本物の取引所であなたの口座にログインし、資産を出金します。2つめは入金させて吸い上げること。「取引所」全体が空っぽの張りぼてで、表示される残高や利益は裏側で入力されただけの数字にすぎず、入金はできても決して出金できません。出金しようとすると「先に税金を払え」「口座がリスク審査中」「証拠金が不足」などの口実を並べ、さらに送金させようとします。
この2つに共通するのは、あなたが最も安心している瞬間に詐欺が起きるということです。「取引所にログインしている」「口座に入金している」——まさに普段いちばん警戒を解いている動作のときに、罠は仕掛けられています。
詐欺師はどうやって偽サイトへ誘導するのか
偽サイトは、ひとりでに目の前に現れるわけではありません。誰かがリンクをあなたの前に置く必要があります。よくある経路は次のとおりです。
検索エンジンの広告枠
「OKX 公式サイト」「Coinbase ログイン」などと検索すると、最上部に「広告」と表示された枠が、詐欺師の買った広告で、なりすましサイトへつながっていることがあります。「一番上が公式だろう」と思い込む人が多く、それこそが詐欺師の狙いです。
DMやグループチャットのリンク
「サポート」「担当者」「投資の先生」「グループ管理者」などが、ログインや特典のリンクを送ってきます。「ここでエアドロップを受け取って」「ここで本人確認を」「アドレスが変わった、古いのは使えない」——他人から送られてきたものは、まず疑ってかかってください。
偽の「最新URL・予備アドレス」
取引所がときにドメインを調整することを逆手に取り、「公式が移転した、これが最新の予備URL」と広めて、なりすましサイトへ誘導します。本物のプラットフォームは、ドメイン変更を公式チャネルで告知します。見知らぬ人のDMで知らせてくることはありません。
QRコードと短縮URL
ポスターやDMのQRコード、短縮されたURLは、読み取る・クリックするまで本当のドメインが隠れています。ページが表示されたときには、すでになりすましサイトの上にいます。
なりすましサイトの正体:5つのドメイン偽装
ページは一画素まで複製できても、ドメインは複製できません。詐欺師は「似て見える」ドメインしか使えないのです。これらの手口を知れば、アドレスバーのどこを見ればよいかがわかります。以下では、OKXの本物の公式ドメイン okx.com を例に説明します(ここに挙げる偽ドメインは手口を示す例であり、実在の特定のサイトを指すものではありません)。
| 手口 | 例 | 見抜き方 |
|---|---|---|
| タイポスクワッティング(綴り偽装) | 0kx.com(数字の0が文字のoになりすます)、okx-vip.com | 一文字ずつ照合します。特に o/0、l/1/I、rn/m に注意 |
| サブドメイン偽装 | okx.account-login.com(本当のドメインは account-login.com) | 本当のドメインは最後のドットのすぐ前の部分 |
| TLD(末尾)の差し替え | okx.net / okx.co / okx.app | 公式の末尾を覚える(OKXは .com) |
| 余分な単語の追加 | okx-official.com / login-okx.com / okx-bonus.com | 公式の本体サイトは official・login・bonus などをドメインに入れません |
| 同形異字(IDN攻撃) | キリル文字の о をラテン文字の o に差し替え。目ではほぼ同じ | 目を信じず、ブックマークやパスワード管理ツールにドメイン照合を任せる |
注:上記のドメインはすべて手口を示す教育目的の例であり、実在の特定サイトを指弾するものではありません。各取引所の公式ドメインは、その公式発表に従ってください。当サイトの公式ドメインチェッカーと照らし合わせて確認できます。
見落とされがちな点:鍵マーク(HTTPS)は「安全」を意味しない
アドレスバーの小さな鍵マークは、あなたとサイトの間の通信が暗号化されていることを示すだけで、そのサイトが本物であることは意味しません。詐欺師もなりすましサイトにHTTPSと鍵マークを付けられます。「鍵がある=公式サイト」と考えないでください。
入力した瞬間、本当は何が起きているのか
「ちょっとログインして見るだけ、送金はしていないのだから問題ないだろう」と考える人がよくいます。問題は、ログインという行為そのものが、本物の口座への鍵を詐欺師に渡すのに十分だということです。
典型的な流れはこうです。なりすましサイトでパスワードを入力すると、即座に裏側へ転送されます。続いてサイトが「ログイン完了のためにSMS・認証アプリのコードを入力してください」と求め、あなたが従うと、そのコードもリアルタイムで転送されます。パスワードとコードを手にした詐欺師は、本物の取引所で同時にログインします。出金先アドレスのホワイトリストを設定しておらず、出金に追加の遅延がなければ、資産は数分で消えてしまうこともあります。
もう一つは、純粋な張りぼてサイトのケースです。登録し、入金し、数字が増えていくのを眺め、すべてが順調に見えます——しかし出金しようとした途端、障害が現れます。実際には、入金した瞬間にあなたのお金は詐欺師のウォレットへ入っていたのです。
その場で見抜ける5つの兆候
どれか一つでも見えたら、ほぼ偽物と判断してよい
- リンクを誰かから送られた。特に「急いで」「期間限定」「古いアドレスは使えない」と急かしてくる。
- ドメインに official / login / vip / bonus / 数字 といった余分な単語が入っている、または末尾が違う。
- まず「入金して有効化」を求める、または出金やロック解除の前に「証拠金・手数料・税金」の支払いを求める。
- ログイン直後に余分な「セキュリティ認証」が現れ、もう一度コードや、リカバリーフレーズ(シードフレーズ)、秘密鍵の再入力を求める。本物の取引所がウォレットのリカバリーフレーズや秘密鍵を尋ねることは決してありません。
- 「サポート」が、アプリ内の問い合わせではなくTelegram・LINE・DMで連絡してくる。
正しい習慣:本物のサイトへ安全にたどり着く方法
なりすましサイトに打ち勝つのに技術の知識はいりません。次の習慣を身につけるだけで十分です。
- 公式ドメインを一度確認したら、すぐにブックマークに登録し、以後は必ずブックマークからのみ入る。もう検索しない、リンクをクリックしない。
- スマートフォンでは、App Store または取引所の公式ダウンロードページからのみアプリを入れる。誰かから送られてきたインストーラーは決して使わない。
- パスワード管理ツールを使う。ドメインが完全に一致したときだけ自動入力されるため、なりすましサイトでは表示されず、実質的にドメイン照合を代わりにやってくれます。
- 2段階認証(2FA)を有効にし、SMSより認証アプリを優先する。出金先アドレスのホワイトリストを有効にして、出金に時間ロックを加える。
- 迷ったら、まず公式ドメインチェッカーで照合し、次に詐欺セルフチェックで流れを確認する。日本国内であれば、相手が金融庁(FSA)に登録された暗号資産交換業者かどうかを公式の登録一覧で確かめるのも有効です。
一行で言うと
本物か偽物かを見分けるときは、ページの見た目ではなく、アドレスバーのドメイン全体が、あなたが確認したものと完全に一致しているかを見ます。入り方を固定する(ブックマーク+公式ストア)だけで、間違った扉をくぐることはほぼなくなります。
すでに入力してしまったら、今すぐこれを
なりすましサイトにパスワードやコードを入力してしまったかもしれない、と気づいたら、固まらずに、順番どおりに素早く動いてください。
本物のサイトから今すぐパスワードを変更
ブックマークまたは公式ドメインの手入力で本物の口座に入り(ドメインが正しいか確認のうえ)、ログインパスワードと資金パスワードをただちに変更します。
不審な端末を解除・強制ログアウト
口座のセキュリティ設定でログイン中の端末とセッションを確認し、見覚えのないものを切断し、不審なAPIキーを無効化します。
出金ホワイトリストと2FAを確認
出金先ホワイトリストに見知らぬアドレスが追加されていないか、2FAが再設定されていないかを確認します。されていれば、ただちに取り消して設定し直します。
資産を移すか、公式サポートに連絡
必要なら、完全に自分が管理できるアドレスへ資産を移し、アプリ内の公式サポート(DMしてきた「サポート」ではなく)を通じて問題を報告します。
証拠を残し、相談・通報を検討
なりすましサイトのドメイン、チャット履歴、送金記録のスクリーンショットを保存します。日本では、警察庁のサイバー犯罪相談窓口(各都道府県警のサイバー窓口)や、消費者ホットライン188(国民生活センター)に相談できます。被害後の証拠保全と相談の流れは、詐欺に遭ってしまったらを参照してください。
「被害回復」を装う二次被害に注意
詐欺に遭った直後、「損失を取り戻してあげる」と持ちかける人物が現れます。これはほぼ確実に、被害者を狙った二次被害(リカバリー詐欺)です。USDTの「回収・凍結解除」詐欺を参照してください。
よくある質問
偽の取引所と本物を、本当に見分ける方法はありますか?
ページの見た目で判断せず、アドレスバーのドメイン全体だけで確かめてください。最も安全なのは、誰かから送られたリンクをタップせず、自分のブックマークか公式ドメインの手入力で開き、一文字ずつ読むことです。似た綴り、余分な単語、違う末尾、あるいは本体ドメインが実は別の見慣れないものになっていないかを注意します。日本では、相手が金融庁(FSA)登録の暗号資産交換業者かを公式の登録一覧で確認するのも有効です。
偽サイトにパスワードとコードを入力しました。まだ間に合いますか?
素早く動けば、間に合う可能性があります。公式の経路から本物の口座に入り、パスワードを変更し、見覚えのない端末のログインを解除し、出金ホワイトリストや2FAが変更されていないか確認します。出金ホワイトリストと認証アプリの2FAを事前に設定していれば、対応できる時間がより多く取れます。動きが速いほど被害は小さくなります。その後、警察庁のサイバー窓口や消費者ホットライン188に相談してください。
検索結果の一番上が、いつも公式サイトですか?
いいえ。検索結果の最上部はしばしば有料広告で、詐欺師は広告を買ってなりすましを上位に表示させます。順位ではなく、ドメインそのものが正しいかで判断してください。最善策は、早い段階で公式ドメインをブックマークし、検索に頼るのをやめることです。
サイトにHTTPSの鍵マークがあります。安全という意味ではないのですか?
いいえ。鍵マークは通信が暗号化されていることを示すだけで、どんなサイト(なりすましを含む)でも取得できます。そのサイトが公式かどうかとはまったく別の話です。
毎回びくびくドメインを確認するより、公式の入り口を一度だけ保存しておく
なりすましサイトが成功するのは、たいてい初心者が最初の一歩で、検索広告や見知らぬ人のリンクから扉をくぐってしまうからです。取引を行うなら、大手で規制を受けた取引所へ公式の経路から直接たどり着き、ブックマークしておきましょう。OKXはそうした主要な取引所の一つで、下記の公式の入り口から確認できます。公式ドメインは okx.com です。
あわせて読みたい
- 偽アプリ(偽OKX・偽Binance)——偽サイトの「アプリ版」。なりすましの威力は同じです。
- 偽サポートと「口座凍結解除」詐欺——なりすましリンクの多くは、偽サポートの手から渡されます。