Coinbase Commerce の危険なシードフレーズ入力問題

みなさん、こんにちは。今回は、Coinbase Commerce のシードフレーズ入力ページに関するセキュリティ上の懸念についてお話しします。

Coinbase Commerce のシードフレーズ入力ページに対する批判

Coinbase Commerce のサブドメインにある withdraw.commerce.coinbase.com/seed-phrase というページが、ユーザーに 12語のシードフレーズをウェブフォームに直接入力させる仕様であることが、セキュリティ研究者たちから強い批判を受けています。このページは、2026年3月31日に Coinbase Commerce が完全に終了し、Coinbase Business に統合される直前に公開されているため、数多くの加盟店が資金を引き出すための短い猶予期間にあります。

このページは、かつて Coinbase Commerce のヘルプドキュメントにも記載されていたもので、ユーザーに Coinbase Wallet や MetaMask などのウォレットにリカバリーフレーズをインポートして資金を回収するよう促していました。しかし、SlowMist の創設者 Yu Xian（Cos）やオンチェーン調査者の ZachXBT は、この方法が「セキュリティ意識の欠如」を示していると指摘しています。特に、シードフレーズをウェブ上のフォームに入力することは、業界の基本ルールに反しており、フィッシング詐欺のリスクを高めると警告しています。

公式ドメイン上のクローン可能な攻撃ベクター

さらに問題視されているのは、このページの構造が非常に簡単にコピーできてしまう点です。SlowMist の CISO である 23pds は、ページのサイトマップに構造的な欠陥があり、攻撃者がフロントエンドのコードをダウンロードして、見た目がそっくりなフィッシングサイトを作成しやすいと指摘しています。これにより、Coinbase に似せたドメインと組み合わせると、経験豊富なユーザーでも騙される可能性が高まります。

シードフレーズ入力の「正常化」がもたらすリスク

暗号資産業界では、シードフレーズはウォレットのマスターキーであり、絶対にウェブサイトやアプリに入力してはいけないという不変のルールがあります。ところが、Coinbase が公式にこのような入力を促すことで、ユーザーがこの危険な行為を「普通のこと」として受け入れてしまう恐れがあります。実際、このツールは Google ドライブからコピーすることも推奨しており、リスクをさらに高めているとの指摘もあります。

オンチェーン調査者の ZachXBT は、2026年1月に約 200 万ドル相当の暗号資産が Coinbase サポートを装った詐欺で盗まれた事件を暴露しており、今回のページは同様の大規模な詐欺のテンプレートになりかねないと警告しています。

Coinbase の対応と今後の展望

2026年3月31日のサービス終了まで残りわずかですが、Coinbase はこの批判に対して公式なコメントを出していません。代替の安全な引き出し方法も提供されていますが、問題のシードフレーズ入力ページはまだ削除も修正もされていません。暗号資産業界で最も注目される上場企業の一つとして、このまま放置されると大規模なフィッシング被害が発生するリスクが高まるため、今後の動きに注目が集まっています。

今回の件は、ユーザーのセキュリティ意識を揺るがすだけでなく、業界全体の信頼にも影響を与えかねない重要な問題だと感じます。公式がこうしたリスクを含むツールを提供することの影響は大きく、今後の対応をしっかり見守っていきたいですね。引き続きウォッチしていきたいですね！