学ぶ
ソラナのウォレット接続は危険?サイトに繋ぐ前の安全確認チェックリスト

結論
ソラナのサイトにウォレット接続する前の安全確認は、「①正しいURLか ②接続で何が起きるか ③署名要求が"承認"か"送金"か」の3点を必ず見ることに尽きます。ウォレットを"接続"しただけでは資産は移動しません。接続で相手に渡るのは公開アドレスと「署名を要求する権利」だけで、実際に資産が動くのはあなたが署名した瞬間です。だからこそ危険なのは接続そのものより、その後に出てくる署名要求の中身です。この記事では、接続前チェックリスト・署名の読み方(承認と送金の違い)・危険な署名の見分け方・接続後の権限確認と解除までを体系化します。「ソラナ ウォレット接続 危険 安全確認」で迷ったら、まずここを1周してください。
この記事のポイント
- 接続=資産移動ではない。接続で渡るのは公開アドレスと署名要求権のみ。真の分岐点は「署名」。
- ソラナはERC-20と違い、悪意ある1回の署名(transfer命令)で即時に全ドレインが起こりうる。承認と送金の区別が命。
- 接続前はURL・出所・接続元サイトを確認、署名画面では何が出ていくかを必ず読む。判断できなければ署名しない。
- 切断(Disconnect)と権限解除(Revoke)は別物。接続を切ってもオンチェーンの委任(delegate)は残るので、定期的に権限を確認・解除する。
そもそも「ウォレット接続」で何が起きるのか
サイトの「Connect Wallet」を押すと、Phantomなどのウォレットが標準の接続モーダルを出します。ここで相手のサイトに渡るのは主に2つです。
- あなたの公開アドレス(残高や取引履歴は誰でも見られる公開情報)
- 署名(トランザクション/メッセージ)を要求できる権利
重要なのは、接続した時点ではサイトは資産を1円も動かせないことです。Phantom公式も「接続はアプリが署名やアクセスを"要求"できるだけで、資金に直接アクセスはできない。すべての取引はユーザーが個別に承認する必要がある」と説明しています。つまり接続は"会話を始める許可"であって、"財布を渡す許可"ではありません。
危険が現実になるのは、この後にサイトが出してくる署名要求にあなたが「承認」を押したときです。したがって安全確認の主戦場は、接続ボタンではなく署名画面にあります。詐欺サイトの手口を体系的に知りたい人は偽トークン・偽サイトの見分け方も併読してください。
【接続前】チェックリスト
繋ぐ前の30秒で、被害の大半は防げます。
| 確認項目 | 見るポイント | 危険サイン |
|---|---|---|
| URL | ドメインが公式と完全一致か(raydium.io等) | 綴り違い・ハイフン追加・別TLD(.xyz等) |
| 出所 | どこ経由で来たか | DM・リプライ・広告・エアドロ通知のリンク |
| 公式導線 | 公式X/Docsのリンクから辿ったか | 検索連動広告の最上部をクリックした |
| SSL/表示 | 崩れ・翻訳の不自然さ | 「今すぐ接続しないと失効」等の急かし |
| 事前情報 | そのdApp名+"scam/drainer"で検索 | 直近に被害報告がある |
鉄則は、リンクを踏まず、公式サイト・公式Docsから自分でアクセスすること。特にエアドロや「あなたのウォレットに問題があります」系の通知リンクは、接続と署名を誘導するための入口であることが大半です。
【最重要】署名要求の読み方 — 「承認」と「送金」は別物
ソラナで最も理解すべきは、署名には性質の違う2種類があることです。
- メッセージ署名(sign message):ログイン認証などに使う。資産は動かない。ただし「オフライン署名を後で悪用」する手口もあるため、内容不明の署名は拒否。
- トランザクション署名(sign transaction):資産が実際に動く。ここが本番。
さらにトランザクションの中身にも段階があります。
| 署名の中身 | 何が起きるか | 危険度 |
|---|---|---|
| メッセージ署名 | 認証など。資産移動なし | 低(内容不明なら拒否) |
| 少額のswap/mint | 明示した額のSOL/トークンが出る | 中(額と宛先を確認) |
| transfer / SetAuthority / 委任(approve) | トークンやNFTの移動・支配権が相手へ | 高 |
| 白紙・複数トークンをまとめて移動 | ウォレット丸ごとドレイン | 最高(即拒否) |
ソラナはEthereumのERC-20(approve→transferFromの2段階)と違い、SPLトークンは直接transferで即時に動く設計です。悪意ある1回の署名で、SOL・トークン・NFTがまとめて出ていくことが起こりえます。だからこそ「何にサインしているか」を毎回読む必要があります。この即時ドレインの仕組みはウォレットドレイナーとは何かで詳しく解説しています。
本記事は投資助言ではなく教育目的です。ソラナのSPLトークンは1回の悪意ある署名で全資産が即時流出しうる不可逆な操作です。署名画面で「どのトークンが・どこへ・いくら」出るかを読み取れないなら、絶対に承認しないでください。急かす表示・複数資産の一括移動・宛先不明の署名は、金額の大小にかかわらず拒否が正解です。
危険な署名を見分けるコツ
- Phantomのトランザクション・シミュレーションを必ず見る。「資産が減る」プレビューが出たら、その減少が想定通りか確認する。
- 「Unable to simulate / このサイトは危険」の警告が出たら、原則そこで止める(正規サイトなら通常出ない)。
- 複数トークンやNFTがまとめてoutgoingになっている署名は、単なるswapでは起こりにくい=ドレイン型を疑う。
- SetAuthority(権限移譲)や無制限のapprove(委任)を求める署名は、財布の鍵を渡すに等しい。用途が説明できなければ拒否。
- 少額でも宛先アドレスが不明なら署名しない。オフライン署名を集めて後で一括ブロードキャストする手口もあります。
判断に迷ったら「わからない署名はしない」でほぼ間違いありません。1回踏みとどまるコストはゼロ、間違えるコストは全額です。
【接続後】権限の確認と解除 — 切断だけでは足りない
ここを誤解している人が非常に多い点です。「切断(Disconnect)」と「権限解除(Revoke)」は別物です。
- 切断(Disconnect):そのサイトからの今後の署名要求を止めるだけ。オンチェーンの委任は残る。
- 権限解除(Revoke):token accountに設定されたdelegate(委任先)をチェーン上でゼロに戻す操作。これをして初めて相手の権限が消える。
SPLトークンは、token accountごとに「現在の委任先」と「委任量」を1つ持ちます。過去にswapやmintで委任(approve)を許可していると、切断しても相手はその範囲でトークンを動かせてしまいます。だから定期的に、Phantomのトークン詳細画面の「Delegate/Approved」欄や、信頼できるリボーク用ツールで現在の委任状況を確認し、不要なものは解除してください。具体的な手順はトークン承認(approve)を取り消す方法にまとめています。
運用の目安:
- 怪しい署名をしてしまったら、すぐに残高を新しいウォレットへ退避し、旧ウォレットの委任を解除する。
- 高額資産は接続しない保管専用ウォレット(ハードウェア推奨)に分け、日常のdApp接続は少額の"使い捨て"ウォレットで行う。
- 月1回、委任状況を棚卸しする。
よくある質問
Q. ウォレットを接続しただけで資産を抜かれることはありますか? A. 接続だけでは抜かれません。接続で相手に渡るのは公開アドレスと署名を要求する権利のみで、資産が動くのはあなたがトランザクションに署名した瞬間です。危険なのは接続後の署名要求の中身です。
Q. 「承認(approve)」と「送金」はどう違いますか? A. 送金は今その場で資産が出ていく操作、承認(委任/approve)は「今後この相手が動かしてよい」という権限付与です。ソラナのSPLは委任先と委任量をtoken accountに保存するため、承認を放置すると後から抜かれる余地が残ります。
Q. サイトから切断すれば安全ですか? A. 不十分です。切断は今後の署名要求を止めるだけで、すでに与えたオンチェーンの委任(delegate)は残ります。安全のためには委任を明示的にRevoke(解除)する必要があります。
Q. 署名画面が英語で内容が読めません。どうすれば? A. 読めない・意味がわからない署名は承認しないでください。特に複数トークンの一括移動、SetAuthority、無制限のapproveを含む署名は高リスクです。Phantomのシミュレーション表示で資産の増減を確認し、想定と違えば拒否が正解です。
参考・出典
- Connect Phantom to an app or site – Phantom Help
- Revoke Delegate – Solana Docs
- Set Authority – Solana Docs
- From EVM to Solana: How to Avoid Phishing Scams – Keystone
- Solana Token Approvals and Revokes (Complete Guide) – TokenToolHub
投資にあたっての注意
本記事は情報提供を目的としたものであり、投資助言ではありません。暗号資産は価格変動やハッキング、紛失等のリスクがあります。投資判断はご自身の責任で、余裕資金の範囲で行ってください。税制・規制は変更される場合があるため、最新情報は必ず公式の一次情報をご確認ください。
Sources
FAQ
- ウォレットを接続しただけで資産を抜かれることはありますか?
- 接続だけでは抜かれません。接続で相手に渡るのは公開アドレスと署名を要求する権利のみで、資産が動くのはあなたがトランザクションに署名した瞬間です。危険なのは接続後の署名要求の中身なので、そこを必ず確認します。
- 「承認(approve)」と「送金」はどう違いますか?
- 送金は今その場で資産が出ていく操作、承認(委任/approve)は今後この相手が動かしてよいという権限付与です。ソラナのSPLは委任先と委任量をtoken accountに保存するため、承認を放置すると後から抜かれる余地が残ります。
- サイトから切断すれば安全ですか?
- 不十分です。切断(Disconnect)は今後の署名要求を止めるだけで、すでに与えたオンチェーンの委任(delegate)は残ります。安全のためには委任を明示的にRevoke(解除)する必要があります。
- 署名画面が英語で内容が読めません。どうすれば?
- 読めない・意味がわからない署名は承認しないでください。特に複数トークンの一括移動、SetAuthority、無制限のapproveを含む署名は高リスクです。Phantomのシミュレーション表示で資産の増減を確認し、想定と違えば拒否が正解です。
本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。