OpenClaw創設者警告：CLAWの偽空投詐欺が襲来、GitHubの開発者が標的に

OpenClawの創始者ピーター・スタインバーガーは3月19日、Xプラットフォーム上で公開警告を発し、すべてのユーザーに対し、OpenClawに関連すると主張する暗号通貨のメールを詐欺とみなすよう促した。彼は明確に、OpenClawは「オープンソースで非営利の」プロジェクトであると述べた。これ以前には、世界中のGitHub開発者を対象とした大規模なフィッシング攻撃が複数の開発者から報告されている。

フィッシング攻撃の具体的手口：GitHub通知を装い開発者を狙う大規模攻撃

（出典：X）

今回のフィッシング攻撃は巧妙に設計されており、即座に識別するのは難しい。セキュリティ研究者のAoke Quantは、攻撃者がGitHubプラットフォームから開発者の公開連絡先情報を直接取得し、大規模かつ精密な情報拡散を支えているのではないかと疑っている。

攻撃メールの主な特徴は以下の通り：

差出人の偽装：メールの外観はGitHub公式通知の形式を模倣し、見分けがつきにくい

送信アカウント名：偽のアカウント「ClawFunding」や「ClawReward」などを使用

内容の誘導：受取人が「選ばれた貢献者」リストに掲載されたと主張し、特別感と緊急性を演出

行動の呼びかけ：疑わしいGoogleリンクをクリックさせ、「偽のトークン」を受け取るよう誘導

多言語対応：一部のメールはスペイン語に翻訳されており、攻撃範囲が複数地域に及んでいることを示す

開発者のDaniel Sánchezは、報告スクリーンショットを共有しながら、「無料の資金提供はほぼ確実に詐欺だ。オープンソースプロジェクトには、暗号通貨の贈与活動を行う理由は一切ない」と指摘している。

数か月にわたる嫌がらせの全タイムライン：ミームコインからアカウント乗っ取りまで30秒

今回のフィッシング攻撃は、OpenClawに対する長期にわたる体系的な嫌がらせの最新のエスカレーションである。2023年1月にOpenClawが「Clawdbot」の名で一躍有名になって以来、暗号通貨投機家たちはSteinbergerとそのプロジェクトに対し、多層的な攻撃を継続している。

重要な出来事の節目は以下の通り：

ミームコインの作成：詐欺師がSolana上でOpenClawを名乗るミームコインを無許可で発行し、1日で96％暴落。多くの個人投資家が大きな損失を被った。

ブランド再構築の危機：Anthropicが商標問題を理由にSteinbergerにロボットの名称変更を要求。彼が「Clawdbot」を「Moltbot」に変更した後、攻撃者は「五秒も経たず」に元のアカウントに侵入し、新たな詐欺用トークンを宣伝、Steinbergerがアカウントを適切に保護する前にマルウェアを拡散した。

GitHubアカウントの乗っ取り：彼のGitHubアカウントは約30秒で乗っ取られ、悪意のあるコードの拡散に利用された。

Discordの封鎖：絶え間ないトークンハッシュ値の爆撃に直面し、SteinbergerはDiscordサーバー上の暗号通貨関連の議論を全面的に禁止した。

X通知の麻痺：X（Twitter）の通知欄は、継続的なトークンハッシュ値とスパムにより「使用不能」状態に。

Steinbergerはこの一連の経験を、「最も深刻なネットワーク嫌がらせ」と表現している。2026年2月にOpenAIの個人AIエージェント部門にSam Altmanの主導で参加した後も、OpenAIの大手企業の後ろ盾を得ているにもかかわらず、詐欺師たちはOpenClawのブランドを悪用し続けている。

よくある質問

偽のOpenClawフィッシングメールを見分けるには？

Steinbergerの公開警告によると、偽のOpenClawメールを識別する最も効果的な方法は次の通り：第一に、OpenClawは「CLAW」やその他の公式トークンを持たない。第二に、メール内のリンクを通じて「エアドロップを受け取る」や「ウォレットを接続する」操作を求めるものはすべて詐欺である。第三に、OpenClawの公式ウェブサイトだけを唯一の信頼できる情報源とし、第三者の商業的なパッケージには注意を払うこと。セキュリティ研究者は、たとえメールがGitHub公式のアドレスから来ているように見えても、送信ドメインを慎重に確認すべきだと助言している。詐欺者は表示名を偽造することが多いためだ。

OpenClawのセキュリティ脆弱性はフィッシング攻撃の助長につながるのか？

セキュリティ企業SlowMistは以前、適切に設定されていないClawdbot/OpenClawのインスタンスはAPIキーやプライベートチャット記録を漏洩させる可能性があると警告した。研究者のJamieson O’Reillyも、認証されていないインスタンスは数百の証明書を公開アクセス可能にする可能性があると指摘している。これらのセキュリティ脆弱性は、詐欺師にとってリアルなユーザーデータを用いた高度にリアルなフィッシングメールを作成する手助けとなり、詐欺の成功率を高める可能性がある。OpenClawを展開するすべてのユーザーは、認証設定を完了し、APIキーを定期的に更新することを推奨する。

類似のフィッシング攻撃に遭遇した場合はどう対処すればよいか？

OpenClawに関連する暗号通貨のエアドロップ招待を受け取った場合は、直ちに削除し、フィッシングメールとしてマークすべきである。メール内のリンクをクリックしたり、個人情報を提供したりしないこと。すでにリンクをクリックしてしまった場合は、すべての関連アカウントのパスワードを変更し、疑わしいサードパーティアプリの権限を取り消し、デバイスをスキャンしてマルウェア感染を防ぐこと。OpenClawの公式チャネルを通じてフィッシング活動を報告し、コミュニティの他の開発者を保護する手助けを行うことも推奨される。