Seekerを探索する人のためのBase

【詐欺対策】ウォレットの「署名」って何?クリックする前に知っておくべき意味とリスク

  1. HOME
  2. Seed Vault・セキュリティ
  3. 【詐欺対策】ウォレットの「署名」って何?クリックする前に知っておくべき意味とリスク

PhantomやMetaMaskを使っていると、何かあるたびに「署名の要求(Sign Request)」というポップアップが出てきませんか?

「よく分からないけど、とりあえず承認ボタンを押そう」

もし、あなたが毎回内容を確認せずにクリックしているなら、それは「貯金箱の中身を全部あげる」という契約書を見ずに、自分の鍵を使って承認しているのと同じかもしれません。

Web3の世界では、「ハッキングされた」と言われる事例の多くが、実はユーザー自身が「悪い署名」をしてしまったことによる自滅です。

この記事では、前回の「透明な貯金箱と鍵」の話をベースに、「署名とは鍵を使って何をしているのか?」、そして「なぜそれが危険なのか?」を分かりやすく解説します。

目次

1. 署名とは「鍵を使って指示書を承認すること」

前回、「秘密鍵」は「透明な貯金箱を開けるための物理キー」だとお話ししました。
それに対して「署名」は、「その鍵を使って、特定の指示を承認する行為」を指します。

Webサイト(dApps)や取引所は、あなたの「物理キー(秘密鍵)」そのものを預かることはできません。鍵は常にあなたの手元にあります。
その代わり、サイト側はあなたにこうお願いします。

「このコインを動かしたいので、あなたの鍵を使って『許可』の証拠(データ)を作ってください」

あなたは手元の鍵を使って、その取引データに特殊な計算(暗号化)を行います。これが「署名」です。
これにより、秘密鍵そのものを相手に渡すことなく、「確かに鍵の持ち主がこの取引を許可した」という証明だけを行うことができるのです。

2. 「ただの挨拶」か「送金の許可」か

しかし、ここで問題になるのが「何に対して鍵を使ったか(署名したか)」です。
署名には大きく分けて2つの種類があります。

① 「ログイン」のための署名(安全)

内容:「私はこの貯金箱(ウォレット)の持ち主です」という証明。
イメージ: 貯金箱の持ち主であることを証明するために、鍵を見せるだけの行為。

これは単なる本人確認なので、中身のコインが動くことはありません。
メッセージ内容に「Welcome to…」や「Login…」といった無害な文章が書かれていることが多いです。

② 「操作」のための署名(要注意!)

内容:「貯金箱からコインを取り出して、誰かに渡していいですよ」という許可。
イメージ: 実際に鍵を回して、中身を取り出す許可を与える行為。

ここで「承認(Approve)」や「署名」を押すと、ブロックチェーン上で実際に資産が移動したり、スマートコントラクトが実行されたりします。
詐欺師が狙っているのは、まさにこれです。

3. なぜ「署名詐欺」が起きるのか?

「ただログインしようとしただけなのに、全財産を抜かれた」
という事件が後を絶ちません。

これは、詐欺サイトが「ログインのフリ」をして、実は「全財産の送金許可」に対して鍵を使わせているからです。

  1. あなたは「ログイン」ボタンだと思ってクリックする。
  2. ウォレットのポップアップが出る。
  3. 中身(英語の羅列)を読まずに、いつもの癖で「署名」を押す。
  4. 実はその中身は「私の持っているコインを全て、犯人のアドレスに送る」という指示書だった。
  5. あなたの鍵で正式に許可が出たため、資産がすべて送金される。

これが、いわゆる「スキャム(Scam)」の正体です。彼らは無理やり鍵を奪ったのではなく、あなた自身に「許可」を出させているのです。

4. 自分の身を守るための3つのルール

署名詐欺から身を守るために、以下の3つを徹底してください。

① ポップアップの中身を見る癖をつける

英語で分かりにくいかもしれませんが、「SetApprovalForAll(すべて許可する)」「Transfer(送金)」といった危険な単語が含まれていないか、最低限チェックしましょう。
「ただのログインのはずなのに、なぜかガス代(手数料)が発生している」場合も要注意です。

② 信頼できないサイトには繋がない

Twitter(X)のDMで送られてきたリンクや、Google検索の広告枠に出てくる怪しいサイトでは、絶対に鍵を使わない(ウォレットを接続しない)でください。

③ ハードウェアウォレットや専用ツールを使う

今回紹介しているWeb3スマホ「Solana Seeker」や、Ledgerなどのハードウェアウォレットは、署名内容を手元の画面で確認できるため、PCがウイルスに感染していても際で気付くことができます。
また、「Wallet Guard」などのブラウザ拡張機能を入れると、難しい署名内容を「翻訳」して危険を知らせてくれるのでおすすめです。

まとめ:署名ボタンは「最終決定スイッチ」

  • 秘密鍵: 貯金箱の鍵(絶対に渡さない)
  • 署名: 鍵を使って「許可」を出すこと(中身をよく読んでから行う)

ウォレットの「署名」ボタンは、あなたの資産を動かすための最終決定スイッチです。
「よく分からないけどヨシ!」とクリックする前に、一呼吸置いて「今、鍵を使って何を許可しようとしているんだろう?」と確認する習慣をつけましょう。

それだけで、Web3のリスクの9割は回避できるはずです。

Seed Vault・セキュリティ
目次