SOL

学ぶ

ソラナのウォレット接続は危険?サイトに繋ぐ前の安全確認チェックリスト

ソラナのウォレット接続は危険?サイトに繋ぐ前の安全確認チェックリスト
写真: jaydeep_ / CC0

結論

ソラナのサイトにウォレット接続する前の安全確認は、「①正しいURLか ②接続で何が起きるか ③署名要求が"承認"か"送金"か」の3点を必ず見ることに尽きます。ウォレットを"接続"しただけでは資産は移動しません。接続で相手に渡るのは公開アドレスと「署名を要求する権利」だけで、実際に資産が動くのはあなたが署名した瞬間です。だからこそ危険なのは接続そのものより、その後に出てくる署名要求の中身です。この記事では、接続前チェックリスト・署名の読み方(承認と送金の違い)・危険な署名の見分け方・接続後の権限確認と解除までを体系化します。「ソラナ ウォレット接続 危険 安全確認」で迷ったら、まずここを1周してください。

この記事のポイント

- 接続=資産移動ではない。接続で渡るのは公開アドレスと署名要求権のみ。真の分岐点は「署名」。

- ソラナはERC-20と違い、悪意ある1回の署名(transfer命令)で即時に全ドレインが起こりうる。承認と送金の区別が命。

- 接続前はURL・出所・接続元サイトを確認、署名画面では何が出ていくかを必ず読む。判断できなければ署名しない。

- 切断(Disconnect)と権限解除(Revoke)は別物。接続を切ってもオンチェーンの委任(delegate)は残るので、定期的に権限を確認・解除する。

そもそも「ウォレット接続」で何が起きるのか

サイトの「Connect Wallet」を押すと、Phantomなどのウォレットが標準の接続モーダルを出します。ここで相手のサイトに渡るのは主に2つです。

  • あなたの公開アドレス(残高や取引履歴は誰でも見られる公開情報)
  • 署名(トランザクション/メッセージ)を要求できる権利

重要なのは、接続した時点ではサイトは資産を1円も動かせないことです。Phantom公式も「接続はアプリが署名やアクセスを"要求"できるだけで、資金に直接アクセスはできない。すべての取引はユーザーが個別に承認する必要がある」と説明しています。つまり接続は"会話を始める許可"であって、"財布を渡す許可"ではありません。

危険が現実になるのは、この後にサイトが出してくる署名要求にあなたが「承認」を押したときです。したがって安全確認の主戦場は、接続ボタンではなく署名画面にあります。詐欺サイトの手口を体系的に知りたい人は偽トークン・偽サイトの見分け方も併読してください。

【接続前】チェックリスト

繋ぐ前の30秒で、被害の大半は防げます。

確認項目見るポイント危険サイン
URLドメインが公式と完全一致か(raydium.io等)綴り違い・ハイフン追加・別TLD(.xyz等)
出所どこ経由で来たかDM・リプライ・広告・エアドロ通知のリンク
公式導線公式X/Docsのリンクから辿ったか検索連動広告の最上部をクリックした
SSL/表示崩れ・翻訳の不自然さ「今すぐ接続しないと失効」等の急かし
事前情報そのdApp名+"scam/drainer"で検索直近に被害報告がある

鉄則は、リンクを踏まず、公式サイト・公式Docsから自分でアクセスすること。特にエアドロや「あなたのウォレットに問題があります」系の通知リンクは、接続と署名を誘導するための入口であることが大半です。

【最重要】署名要求の読み方 — 「承認」と「送金」は別物

ソラナで最も理解すべきは、署名には性質の違う2種類があることです。

  • メッセージ署名(sign message):ログイン認証などに使う。資産は動かない。ただし「オフライン署名を後で悪用」する手口もあるため、内容不明の署名は拒否。
  • トランザクション署名(sign transaction):資産が実際に動く。ここが本番。

さらにトランザクションの中身にも段階があります。

署名の中身何が起きるか危険度
メッセージ署名認証など。資産移動なし低(内容不明なら拒否)
少額のswap/mint明示した額のSOL/トークンが出る中(額と宛先を確認)
transfer / SetAuthority / 委任(approve)トークンやNFTの移動・支配権が相手へ
白紙・複数トークンをまとめて移動ウォレット丸ごとドレイン最高(即拒否)

ソラナはEthereumのERC-20(approve→transferFromの2段階)と違い、SPLトークンは直接transferで即時に動く設計です。悪意ある1回の署名で、SOL・トークン・NFTがまとめて出ていくことが起こりえます。だからこそ「何にサインしているか」を毎回読む必要があります。この即時ドレインの仕組みはウォレットドレイナーとは何かで詳しく解説しています。

本記事は投資助言ではなく教育目的です。ソラナのSPLトークンは1回の悪意ある署名で全資産が即時流出しうる不可逆な操作です。署名画面で「どのトークンが・どこへ・いくら」出るかを読み取れないなら、絶対に承認しないでください。急かす表示・複数資産の一括移動・宛先不明の署名は、金額の大小にかかわらず拒否が正解です。

危険な署名を見分けるコツ

  • Phantomのトランザクション・シミュレーションを必ず見る。「資産が減る」プレビューが出たら、その減少が想定通りか確認する。
  • Unable to simulate / このサイトは危険」の警告が出たら、原則そこで止める(正規サイトなら通常出ない)。
  • 複数トークンやNFTがまとめてoutgoingになっている署名は、単なるswapでは起こりにくい=ドレイン型を疑う。
  • SetAuthority(権限移譲)や無制限のapprove(委任)を求める署名は、財布の鍵を渡すに等しい。用途が説明できなければ拒否。
  • 少額でも宛先アドレスが不明なら署名しない。オフライン署名を集めて後で一括ブロードキャストする手口もあります。

判断に迷ったら「わからない署名はしない」でほぼ間違いありません。1回踏みとどまるコストはゼロ、間違えるコストは全額です。

【接続後】権限の確認と解除 — 切断だけでは足りない

ここを誤解している人が非常に多い点です。「切断(Disconnect)」と「権限解除(Revoke)」は別物です。

  • 切断(Disconnect):そのサイトからの今後の署名要求を止めるだけ。オンチェーンの委任は残る。
  • 権限解除(Revoke):token accountに設定されたdelegate(委任先)をチェーン上でゼロに戻す操作。これをして初めて相手の権限が消える。

SPLトークンは、token accountごとに「現在の委任先」と「委任量」を1つ持ちます。過去にswapやmintで委任(approve)を許可していると、切断しても相手はその範囲でトークンを動かせてしまいます。だから定期的に、Phantomのトークン詳細画面の「Delegate/Approved」欄や、信頼できるリボーク用ツールで現在の委任状況を確認し、不要なものは解除してください。具体的な手順はトークン承認(approve)を取り消す方法にまとめています。

運用の目安:

  • 怪しい署名をしてしまったら、すぐに残高を新しいウォレットへ退避し、旧ウォレットの委任を解除する。
  • 高額資産は接続しない保管専用ウォレット(ハードウェア推奨)に分け、日常のdApp接続は少額の"使い捨て"ウォレットで行う。
  • 月1回、委任状況を棚卸しする。

よくある質問

Q. ウォレットを接続しただけで資産を抜かれることはありますか? A. 接続だけでは抜かれません。接続で相手に渡るのは公開アドレスと署名を要求する権利のみで、資産が動くのはあなたがトランザクションに署名した瞬間です。危険なのは接続後の署名要求の中身です。

Q. 「承認(approve)」と「送金」はどう違いますか? A. 送金は今その場で資産が出ていく操作、承認(委任/approve)は「今後この相手が動かしてよい」という権限付与です。ソラナのSPLは委任先と委任量をtoken accountに保存するため、承認を放置すると後から抜かれる余地が残ります。

Q. サイトから切断すれば安全ですか? A. 不十分です。切断は今後の署名要求を止めるだけで、すでに与えたオンチェーンの委任(delegate)は残ります。安全のためには委任を明示的にRevoke(解除)する必要があります。

Q. 署名画面が英語で内容が読めません。どうすれば? A. 読めない・意味がわからない署名は承認しないでください。特に複数トークンの一括移動、SetAuthority、無制限のapproveを含む署名は高リスクです。Phantomのシミュレーション表示で資産の増減を確認し、想定と違えば拒否が正解です。

参考・出典

投資にあたっての注意

本記事は情報提供を目的としたものであり、投資助言ではありません。暗号資産は価格変動やハッキング、紛失等のリスクがあります。投資判断はご自身の責任で、余裕資金の範囲で行ってください。税制・規制は変更される場合があるため、最新情報は必ず公式の一次情報をご確認ください。

Sources

  1. Connect Phantom to an app or site – Phantom Help
  2. Revoke Delegate – Solana Docs
  3. Set Authority – Solana Docs
  4. From EVM to Solana: How to Avoid Phishing Scams – Keystone
  5. Solana Token Approvals and Revokes (Complete Guide) – TokenToolHub

FAQ

ウォレットを接続しただけで資産を抜かれることはありますか?
接続だけでは抜かれません。接続で相手に渡るのは公開アドレスと署名を要求する権利のみで、資産が動くのはあなたがトランザクションに署名した瞬間です。危険なのは接続後の署名要求の中身なので、そこを必ず確認します。
「承認(approve)」と「送金」はどう違いますか?
送金は今その場で資産が出ていく操作、承認(委任/approve)は今後この相手が動かしてよいという権限付与です。ソラナのSPLは委任先と委任量をtoken accountに保存するため、承認を放置すると後から抜かれる余地が残ります。
サイトから切断すれば安全ですか?
不十分です。切断(Disconnect)は今後の署名要求を止めるだけで、すでに与えたオンチェーンの委任(delegate)は残ります。安全のためには委任を明示的にRevoke(解除)する必要があります。
署名画面が英語で内容が読めません。どうすれば?
読めない・意味がわからない署名は承認しないでください。特に複数トークンの一括移動、SetAuthority、無制限のapproveを含む署名は高リスクです。Phantomのシミュレーション表示で資産の増減を確認し、想定と違えば拒否が正解です。
新井 そら
  • ブロックチェーン・リサーチャー
  • Solanaエコシステム取材歴5年
  • 元Web系エンジニア

2021年からSolanaエコシステムを取材・分析。SPLトークン・DeFi・NFT・バリデータ運用に精通し、初心者にわかる解説を重視。

本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。