ZachXBTがCoinbase Commerceの復旧ページを指摘、ユーザーに12語のシードフレーズ入力を促し、フィッシングやソーシャルエンジニアリングの懸念を呼び起こす
公式ドメイン上のライブページがセキュリティ警告を引き起こしている。withdraw.commerce.coinbase.comにホストされているこのページは、Coinbase Commerceに関連した資産復旧の一環として、ユーザーに12語のシードフレーズを入力させるよう求めている。取引所はこのページを削除していない。
オンチェーン調査員のZachXBTはXで警鐘を鳴らし、このようなページが何を可能にするかについてCoinbaseが十分に考えていたのか疑問を投げかけた。「つまり、Coinbaseの公式ページがライブで存在し、攻撃者がシードフレーズのソーシャルエンジニアリングを通じてCoinbaseユーザーを狙うことができるってこと?」とZachXBTは書き込んだ。この投稿は瞬く間に数千の反応を集めた。
公式ページが武器になるとき
セキュリティ研究者のevilcosもX上で同じページを指摘し、平文のニーモニックフレーズを入力させる行為は、大手取引所としては信じ難いと述べた。研究者によると、サブドメインは最初、侵害されたように見えたが、実際には公式のページだった。
復旧ページに表示されるCoinbase Commerceのヘルプドキュメントは、手順を説明している。商人に対し、Commerceが受け取った各支払いごとに新しいアドレスを生成するため、資金が何百、何千ものウォレットアドレスに分散している可能性があると伝える。シードフレーズを標準的なウォレットにインポートしても、全残高が表示されない場合がある。標準ウォレットは通常、最初の20の未使用アドレスのみをスキャンする。ビットコインやその他のUTXOベースの資産については、Coinbaseは2026年3月31日以前に出金ツールを利用するよう案内している。
また、Googleドライブにバックアップしたシードフレーズを取得し、それを出金ツールに入力する方法も説明されている。ここに研究者たちが懸念を抱くリスクが潜む。
二つの問題、しかし非常に危険なページ
セキュリティ研究者のim23pdsはX上で、懸念を二つの問題に分けて指摘した。第一に、公式のCoinbaseドメインから発信されているリンクであっても、資産確認のためにニーモニックフレーズを送信させるのはセキュリティ基準から見て無謀だ。第二に、そのウェブサイトには脆弱なサイトマップが存在し、攻撃者はResourcesSaverのようなツールを使ってフロントエンドのコードを丸ごとダウンロードし、ほぼ同一のコピーを展開できる。これに偽のドメインを組み合わせれば、Coinbaseのフィッシングキャンペーンは格段に容易になる。
別の以前の投稿で、im23pdsはこのページが不注意に作られたと指摘した。チームはサイトマップも設定せずに公開したため、その構造をコピーしたい者にとってさらにアクセスしやすくなっている。
而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-)
👇 pic.twitter.com/wdzBOti5w8
— 23pds (山哥) (@im23pds) 2026年3月19日
出典:im23pds
核心的な危険性は明白だ。脅威の行為者はCoinbaseのシステムに侵入する必要はない。既存の公式ページの偽バージョンをユーザーに見せ、シードフレーズを求めるだけで良い。ユーザーは実際のページに慣らされているため、情報を渡してしまう。
ここに見られる広範なパターン
これは取引所にとって新しいパターンではない。ZachXBTは以前、悪意のある者がCoinbaseのブランドを悪用し、ソーシャルエンジニアリングや偽のサポートチャネルを使ってウォレットを流出させる手口を記録している。この場合、Commerceの復旧ページは、誰もなりすまさなくても詐欺師の土台となる。
このページは今もライブ状態だ。Coinbaseはこれに対して公の反応を示していない。
