ZachXBTがCoinbase Commerceのリカバリーページを指摘、ユーザーに12語のシードフレーズ入力を促し、フィッシングやソーシャルエンジニアリングの懸念を呼び起こす
公式ドメイン上のライブページがセキュリティ警告を引き起こしている。withdraw.commerce.coinbase.comにホストされているこのページは、Coinbase Commerceに関連した資産回復の一環として、ユーザーに12語のシードフレーズを入力させるものだ。取引所はこのページを削除していない。
オンチェーン調査員のZachXBTはXで警鐘を鳴らし、このようなページが何を可能にするかについてCoinbaseが十分に考えていたのか疑問を投げかけた。「つまり、Coinbaseの公式ページが、攻撃者がシードフレーズのソーシャルエンジニアリングを通じてCoinbaseユーザーを狙うために使えるライブの脅威となっているということか?」とZachXBTは書いた。この投稿は瞬く間に数千の反応を集めた。
公式ページが武器になるとき
セキュリティ研究者のevilcosはXで同じページを指摘し、メインの取引所からの問い合わせであっても、平文のニーモニックフレーズを入力させる行為は信じ難いと述べた。研究者によると、サブドメインは最初、侵害されたように見えたが、実際には公式のページだった。
リカバリーページに表示されるCoinbase Commerceのヘルプドキュメントは、手順を説明している。商人には、Commerceが受け取った各支払いごとに新しいアドレスを生成するため、資金が何百、何千ものウォレットアドレスに分散している可能性があると伝えている。シードフレーズを標準的なウォレットにインポートしても、全残高が表示されない場合がある。標準のウォレットは通常、最初の20の未使用アドレスのみをスキャンする。ビットコインやその他のUTXOベースの資産については、Coinbaseは2026年3月31日以前に出金ツールを利用するよう案内している。
また、ユーザーにGoogleドライブにバックアップしたシードフレーズを取得し、それを出金ツールに入力する方法も説明している。ここにリスクが潜んでいると研究者は指摘する。
二つの問題、一つの非常に危険なページ
セキュリティ研究者のim23pdsはXで、懸念を二つに分けて指摘した。第一に、公式のCoinbaseドメインからのリンクであっても、資産を確認するためにニーモニックフレーズを送信させるのはセキュリティ基準から見て無謀だ。第二に、そのウェブサイトには脆弱なサイトマップがあり、攻撃者はResourcesSaverのようなツールを使ってフロントエンドのコードを丸ごとダウンロードし、ほぼ同一のコピーを展開できる。これに、類似ドメインを組み合わせれば、Coinbaseのフィッシングキャンペーンを容易に展開できる。
別の以前の投稿では、im23pdsはページが雑に作られていると指摘した。サイトマップも設定せずに公開されたため、誰でもその構造をコピーしやすくなっている。
しかもページ作りが非常に雑… sitemap も設定せずにそのまま公開してる:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds(山哥) (@im23pds) 2026年3月19日
出典:im23pds
核心的な危険性は明白だ。攻撃者はCoinbaseのシステムに侵入する必要はない。既存の公式ページの偽バージョンをユーザーに見せてシードフレーズを入力させるだけで、ユーザーは本物のページに条件付けられているため、情報を渡してしまう。
ここに見られるパターンの全体像
これは取引所にとって新しいパターンではない。ZachXBTは以前、悪意のある者がCoinbaseのブランドを悪用し、ソーシャルエンジニアリングや偽のサポートチャネルを使ってウォレットを流出させる手口を記録している。今回のCommerceのリカバリーページも、誰かがなりすます必要なく、詐欺師の土台を築いている。
このページは今も稼働中だ。Coinbaseはこれらの懸念に対して公の反応を示していない。
