ZachXBTがCoinbase Commerceのリカバリページを指摘、ユーザーに12語のシードフレーズ入力を促し、フィッシングやソーシャルエンジニアリングの懸念を呼び起こす
公式ドメイン上のライブページがセキュリティ警告を引き起こしている。withdraw.commerce.coinbase.comにホストされているこのページは、Coinbase Commerceに関連した資産回復の一環として、ユーザーに12語のシードフレーズを入力させるよう求めている。取引所はこのページを削除していない。
オンチェーン調査員のZachXBTはXで警鐘を鳴らし、このようなページが何を可能にするかについてCoinbaseが十分に考えていたのか疑問を投げかけた。「つまり、Coinbaseの公式ページが、攻撃者がシードフレーズのソーシャルエンジニアリングを通じてCoinbaseユーザーを狙うために使える状態になっているってこと?」とZachXBTは書いた。この投稿は瞬く間に数千の反応を集めた。
セキュリティ研究者のevilcosはXで同じページを指摘し、メインの取引所からのプレーンテキストのニーモニックフレーズ入力を求める行為は信じ難いと述べた。最初はこのサブドメインが侵害されたと思われたが、実際には公式のページだった。
リカバリページに表示されるCoinbase Commerceのヘルプドキュメントは、手順を説明している。商人には、Commerceが各支払いごとに新しいアドレスを生成するため、資金が何百、何千ものウォレットアドレスに分散している可能性があると伝えている。シードフレーズを標準のウォレットにインポートしても、全残高が表示されない場合がある。標準ウォレットは通常、最初の20の未使用アドレスのみをスキャンする。ビットコインやその他のUTXOベースの資産については、Coinbaseは2026年3月31日以前に出金ツールを利用するよう案内している。
また、ユーザーにGoogleドライブにバックアップしたシードフレーズを取得し、それを出金ツールに入力させる方法も説明している。ここにリスクが潜んでいると研究者は指摘している。
セキュリティ研究者のim23pdsはXで、この問題を二つの異なる点に分けて指摘した。第一に、公式のCoinbaseドメインから発信されているリンクであっても、資産を確認するためにニーモニックフレーズを送信させるのはセキュリティ基準から見て無謀だ。第二に、このウェブサイトには脆弱なサイトマップがあり、攻撃者はResourcesSaverのようなツールを使ってフロントエンドのコードを丸ごとダウンロードし、ほぼ同一のコピーを展開できる。これに偽のドメインを組み合わせれば、Coinbaseのフィッシングキャンペーンを容易に展開できる。
別の以前の投稿で、im23pdsはこのページが不注意に作られたと指摘した。サイトマップも設定せずに公開されたため、誰でもその構造をコピーしやすくなっている。
しかもページ作りが非常に雑… sitemap も設定せずにそのまま公開した:-)
👇 pic.twitter.com/wdzBOti5w8— 23pds (山哥) (@im23pds) 2026年3月19日
出典:im23pds
核心的な危険性は明白だ。攻撃者はCoinbaseのシステムに侵入する必要はない。既存の公式ページの偽バージョンをユーザーに見せてシードフレーズを入力させるだけで済む。実際のページに条件付けられたユーザーは、それを渡してしまう。
これは取引所にとって新しいパターンではない。ZachXBTは以前、悪意のある者がCoinbaseのブランドを悪用し、ソーシャルエンジニアリングや偽サポートチャネルを使ってウォレットを流出させる手口を記録している。このケースのリカバリページは、誰かになりすますことなく詐欺師の土台を築いている。
このページは今も稼働中だ。Coinbaseはこれに対して公の反応を示していない。
