定義
アドレス・ポイズニングとは、攻撃者が被害者のアドレスに非常によく似た blockchain(ブロックチェーン)アドレスを作成・利用してユーザーをだます、暗号資産のセキュリティリスクの一種です。攻撃者は少額または意味のない取引を送り、偽アドレスを被害者の取引履歴やwallet(ウォレット)の画面上に表示させます。その後、被害者が履歴からアドレスをコピーして送金しようとした際、本来送るべき相手ではなく、誤って攻撃者のアドレスを選んでしまう可能性があります。その結果、送金された資金は正しい受取人アドレスではなく攻撃者のアドレスに送られ、元に戻せない形で失われてしまいます。
このリスクは、一般的な blockchain(ブロックチェーン)アドレスが長く複雑であること、そして多くのユーザーがアドレスを確認する際に一部の文字列だけを目視でチェックしたり、直近の取引履歴からコピー&ペーストしていることを悪用します。アドレス・ポイズニング自体は通常、暗号技術(cryptography)の破壊やwallet(ウォレット)の乗っ取りを伴うものではなく、アドレスの表示方法や再利用のされ方を操作する手口です。これはアドレスの扱いに関する「人間側のセキュリティ」を狙ったものであり、プロトコルレベルの脆弱性というより、ソーシャルエンジニアリングとインターフェース設計を悪用した脅威といえます。
文脈と使われ方
アドレス・ポイズニングという用語は、blockchain(ブロックチェーン)セキュリティの文脈で使われ、ユーザーの最近使ったアドレス一覧を「汚染」したり、紛らわしくしたりすることを目的とした不正取引のパターンを指します。wallet(ウォレット)ソフトウェアが過去のアドレスや取引をどのように表示するかという点を悪用するため、一般的なアドレスの安全な扱い方とセットで語られることが多い概念です。アドレス・ポイズニングに言及する際には、アドレスの先頭や末尾の数文字だけでなく、「アドレス全体の文字列」を確認することの重要性が強調されます。
セキュリティに関する議論では、アドレス・ポイズニングは、通常のオンチェーン活動に見せかけながら混乱を生み出す「欺瞞的な戦術」として分類されます。これは、基盤となる blockchain(ブロックチェーン)自体のセキュリティと、ユーザーがアドレスとどのようにやり取りするかに起因するリスクとの違いを浮き彫りにします。このリスクに名前が付けられていることで、セキュリティ専門家やwallet(ウォレット)開発者、ユーザーが、この特定のアドレス悪用型の詐欺パターンを説明し、認識しやすくなります。