ZachXBTがCoinbase Commerceのリカバリページを指摘、ユーザーに12語のシードフレーズ入力を促し、フィッシングやソーシャルエンジニアリングの懸念を呼び起こす
公式ドメイン上のライブページがセキュリティ警告を引き起こしている。withdraw.commerce.coinbase.comにホストされているこのページは、Coinbase Commerceに関連した資産回復の一環として、ユーザーに12語のシードフレーズを入力させるよう求めている。取引所はこのページを削除していない。
オンチェーン調査員のZachXBTはXで警鐘を鳴らし、このようなページが何を可能にするかについてCoinbaseが十分に考えていたのか疑問を投げかけた。「つまり、Coinbaseの公式ページがライブで存在し、攻撃者がこれを利用してシードフレーズのソーシャルエンジニアリングを仕掛けることができるってこと?」とZachXBTは書き込み、投稿は瞬く間に数千の反応を集めた。
公式ページが武器になる時代
セキュリティ研究者のevilcosはXで同じページを指摘し、メジャーな取引所がユーザーに平文のニーモニックフレーズを入力させる行為は信じ難いと述べた。最初はサブドメインが侵害されたと思われたが、実際には公式のページだった。
リカバリページに表示されるCoinbase Commerceのヘルプドキュメントは、手順を説明している。商人に対し、資金が何百、何千ものウォレットアドレスに分散している可能性があると伝え、Commerceが各支払いごとに新しいアドレスを生成しているためだ。シードフレーズを標準的なウォレットにインポートしても、全残高が表示されない場合がある。標準ウォレットは通常、最初の20の未使用アドレスのみをスキャンする。ビットコインや他のUTXOベースの資産については、2026年3月31日以前にCoinbaseは出金ツールを利用するよう案内している。
また、ユーザーにGoogleドライブにバックアップしたシードフレーズを取得し、それを出金ツールに入力させる方法も説明している。ここにリスクが潜むと研究者は指摘している。
二つの問題、しかし非常に危険な一ページ
セキュリティ研究者のim23pdsはXで、懸念を二つに分けて指摘した。第一に、公式ドメインからのリンクであっても、資産確認のためにニーモニックフレーズを送信させるのはセキュリティ基準から見て非常に杜撰だ。第二に、そのウェブサイトには脆弱なサイトマップがあり、攻撃者はResourcesSaverのようなツールを使ってフロントエンドのコードを丸ごとダウンロードし、ほぼ同一のコピーを展開できる。これにより、類似ドメインと組み合わせれば、Coinbaseのフィッシングキャンペーンを容易に仕掛けられる。
別の以前の投稿で、im23pdsはこのページが雑に作られたと指摘した。サイトマップも設定せずに公開されたため、誰でもその構造をコピーしやすくなっている。
しかもページ作りが非常に雑… sitemap も設定せずにそのまま公開してる:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds(山哥) (@im23pds) 2026年3月19日
出典:im23pds
核心的な危険性は明白だ。攻撃者はCoinbaseのシステムに侵入する必要はない。既存の公式ページの偽バージョンをユーザーに見せ、シードフレーズを入力させるだけで済む。ユーザーは本物のページに条件付けられているため、偽ページに情報を渡してしまう。
このパターンの全体像
これは新しい手口ではない。ZachXBTは以前、悪意のある者がCoinbaseのブランドを悪用し、ソーシャルエンジニアリングや偽サポートチャネルを使ってウォレットを奪取する手口を記録している。今回のCommerceリカバリページも、誰かになりすますことなく詐欺師の土台を築いている。
このページは依然として稼働中だ。Coinbaseはこれに対して公式な回答をしていない。
