セキュリティ対策

セキュリティ対策

突然ですが、セキュリティ意識はお持ちでしょうか?

WEB3.0においては自己管理が原則となっているため、自分の身は自分で守るしかありません。

私たちが普段利用しているサービスについては、パスワードを紛失してログインできなくなった場合は運営に依頼してパスワードの再発行が簡単にできます。

これが今までの常識でしたが、WEB3.0ではパスワードを忘れてしまうとログインができなくなってしまします。

最悪、パスワードを忘れたがために自分の資産を引き出せないなんていう事態が発生してしまうこともあります。

残念ながら、ハッキングについても非常に多く発生しているのが現状です。

こうした事態を防ぐためには、きちんとした情報管理やハッキング対策をするためには高いセキュリティ意識を持っていなければなりません。

今まで運営側に管理してもらっていた常識と比べると非常に手間がかかるため煩わしいと思うかもしれませんが、自分の身は自分で守る必要性があります。

このページでは主要なセキュリティ対策(物理面、精神面)などを紹介していき、あなたに少しでも防御力を高めてもらうことを目的として書いています。

個別に見ていくと難しいことはありませんが、手間がかかったり、煩わしいと感じることはあると思いますが、自分の資産を守るためだと思って一緒にセキュリティ意識を高めていきましょう。

 

 

 

 

1.【秘密鍵・リカバリーフレーズ】管理

秘密鍵やリカバリーフレーズの管理をどのように行なっていけばいいか悩んでいる方も多くいると思います。
下記に主要な方法を紹介するので参考にしてみてください。
利便性とセキュリティがトレードオフの関係となっているため、自分に合った選択を行なってみてください。

紙に書く ・ネットワークに接続していないことが強み

・紙自体の保管方法によっては紛失リスクあり

・紙の強度が低いため破損リスクあり

・記入間違いのリスクあり

・保管場所は金庫等安全な場所にする

スクリーンショット ・ネットワークを通して外部に流出する可能性あり

・デバイスが故障した際に復元できない可能性あり

・誤削除の可能性あり

ドキュメント ・ネットワークを通して外部に流出する可能性あり

・デバイスが故障した際に復元できない可能性あり

・コピペで対応できるので日常使いには楽

・誤編集の可能性あり

パスワード管理アプリ ・セキュリティが運営体に依存

・コピペで対応できるので日常使いには楽

・デバイスに依存しない

USB ・デバイスが故障した際に復元できない可能性あり

・ネットワーク接続から切り離せることが強み

・保管場所は金庫等安全な場所にする

2.ウォレット接続

ウォレットを無闇に他のサービスに接続することは控えましょう。
偽サービスに接続してしまうと、それだけで資産が抜かれる危険性があります。

公式サービスの情報で接続先が正しいかどうかを確認しましょう。
一見しただけでは見分けのつかないものも多いため、URLが正しいかどうかチェックする癖をつけると良いです。
Twitterで公式アカウントを乗っ取り、公式アカウントから偽サービスの情報を発信する手口もあったりするので焦らず急がず冷静にが大切です。

 

3.OSバージョンアップ

OSやブラウザのバージョンアップをこまめにするように心がけましょう。
ソフトの脆弱性を突いた攻撃と、その脆弱性を修正したバージョンアップがイタチごっこで繰り返されています。
バージョンが古いままだと脆弱性を放置していることとなるので、セキュリティ面に懸念が残ります。
スマホでもPCでもこまめにチェックするようにしてください。

 

 

4.フリーWi-Fi

カフェやホテルで利用できるようなフリーWiFiは絶対に使わないようにしましょう。
フリーWi-Fiはセキュリティ面が弱いので、フリーWi-Fi経由でハッキングが行われる事例もあります。
過去にWi-Fiを繋げてしまっていて、自動的に接続してしまう状況であれば設定で解除しておくことをお勧めします。

 

 

5.秘密鍵を聞かれることは絶対にない

秘密鍵やリカバリーフレーズを聞いてくる人やサービスは間違いなく詐欺です。
秘密鍵やリカバリーフレーズを使用するシーンはウォレットを復元する場合のみです。
その使用シーンを利用して詐欺に応用する手口が発生することも想定されます。
ウォレットアプリのダウンロードは検索ではなく、公式から行うなどして気をつけましょう。

 

6.多段階認証

ウォレットアプリをダウンロードした際には多段階認証の設定を行うようにしましょう。
パスワードの他に、指紋認証や顔認証、SMS認証を併せて設定しておくことでセキュリティが高まり不正ログインの危険性が減少します。

多段階認証の設定はウォレットアプリに限らず、仮想通貨取引所等の重要なサービスにを利用する際には設定しておくことをお勧めします。
使用するサービスが対応していれば、Authenticatort等の認証アプリ(使い捨て認証コードを生成してくれる)を活用してセキュリティを高めておくことも大切です。

 

7.少額送金確認

特に慣れないうちには実践した方が無難です。
ある程度まとまった資金を自分の別ウォレットに送金する際は少額でテスト送金を行なって、きちんと届くか確認するようにすると、誤送金を防げます。

余分なガス代がかかってしまいますが、勉強代としては安いものです。
大金を送金してから実は誤ったアドレスに送金していたなんていうことを防ぐためにテスト送金という選択肢を持っておくことは大切です。

 

 

8.送金先アドレスは都度確認

仮想通貨取引所などではアドレスが変更となる事象がたまに発生することがあります。
そのため、以前送金したことがあるアドレスであるということで使い回すのではなく、都度送金先のアドレスが正しいのかを確認する癖をつけるようにしましょう。

利便性の観点から送金先アドレスを登録しておく機能があることもありますが、送金の都度アドレスを確認するのが無難です。

 

9.コピペを利用

アドレスを入力したり秘密鍵を保存する際にはコピペ機能を利用して、誤入力を防ぎましょう。
秘密鍵を紙で保管する場合はコピペが利用できないので、最新の注意を払い何度も正しく記載できているかチェックしましょう。
一文字でも間違えていたら復元ができなくなります。

 

10.スマホ、PC買い替え時

デバイスを変更する際にも注意が必要です。
新しいデバイスでウォレットに秘密鍵を入力して正しく復元ができるか、古いデバイスで情報を保管している場合はどのように処分するか、認証アプリを視聴している場合は新しいデバイスに引き継ぎが正しく行われるか等、デバイスを切り替える際には注意することが結構あります。
新しくスマホやPCを買い替える際には注意が必要なんだくらいの感覚を持っておくようにしましょう。

 

 

11.ウォレット複数分散

ウォレットを複数作成して、分散しておくことは大切です。
日常使い用、まとまった資金を保管する用などです。
さらに、日常使いの中でも安全に使う用、テスト用
まとまった資金を管理する際にも、複数ウォレットで管理するなど分散しておくと、万が一のことが起きた時のダメージが軽減できます。

しかし、分散すればするほど管理が煩わしくなるので、どの程度分散すればいいかは自分のリスク許容度と管理方法に照らし合わせて考えてみてください。
ちなみに、同じ秘密鍵でで複数アカウントを作成することも可能ですが、別々の秘密鍵で管理するようにしないとリスク分散できているとは言えません。

 

12.送りつけられるコイン、NFT

自分のウォレットに勝手にコインやNFTを送りつけられてくることがありますが、触らないように注意しましょう。
善意で送られてきているわけではなく、確実に悪意を持って送りつけられているコインやNFTです。
見覚えありそうな物や価格表示がされていたりするものがあるため注意が必要です。

勝手に送られてきたNFTを開く際に、ウイルスやマルウェアが含まれている場合があります。
これらのコードがウォレット内に侵入して、ウォレットの中身が全て盗まれてしまう可能性があるので、「触るな、危険」です。

取引しないだけではなく、触らないということを徹底する必要があります。

 

 

13.ハードウェアウォレット

ソフトウェアウォレットは、パソコンやスマートフォンなどのデバイス上にインストールされたウォレットであり、ハードウェアウォレットは、USBなどの外部デバイスに格納されたウォレットです。

ソフトウェアウォレットは常に取引ができるようにインターネットに接続されているため、ウォレットからの盗難のリスクが高いと言えます。
ハードウェアウォレットは、取引のための接続が必要な場合でも、都度デバイスをコンピューターに接続する必要があるため、盗難のリスクが低くなります。

セキュリティ面を考えるのであればハードウェアウォレットの方が安全ですが、日常使いではソフトウェアウォレットの方が利便性は高いです。

ハードウェアウォレットは物理的なデバイスを購入する必要があるため、自分のリスク許容度に合わせて導入するかどうかは決めればいいと思います。
注意点として、くれぐれもメルカリなどの非正規の場所からの購入は避けて下さい。
不正なプログラムが仕込まれていて、資産が抜かれてしまうと思って間違い無いです。

ハードウェアウォレットで有名なLedger社の人気商品「LEDGER NANO S PLUS」を下記から購入できます。



14.リボーク

セキュリティを高めるためにリボーク(revoke)を活用しましょう。
リボークとは、トランザクションを発生させ、アプルーブ(approve、承認)した内容を取り消すことができる行為のことです。
アプルーブ状態にしておくと、アプルーブした先が自由に自分のウォレットにアクセスできてしまいます。

ガス代は発生しますが、都度リボークをすることによりセキュリティを高めることができます。
今までは問題なく使用していたサービスが、突然詐欺行為を行う側になってしまうという可能性を排除するためにもリボークを活用することをお勧めします。

15.インフルエンサー補正

インフルエンサーを全面的に押し出しているプロジェクトに関しては一歩引いた目線で見るのが無難でしょう。
プロジェクトの中身が大したことないにも関わらず、知名度だけはあるなんてことはよくあることです。
インフルエンサーを起用するために広告宣伝費をかけていますので、中身がしっかりしているプロジェクトであるかどうかをホワイトペーパー等を読み込んで確認するようにしましょう。
インフルエンサーが紹介しているプロジェクトだから大丈夫という考え方は危険です。

 

TwitterなどのSNSでよく見かける、クリプトインフルエンサーの言葉を鵜呑みにしないということも大切です。
価格について上がるとか下がるとかについて頻繁に言及しているようなクリプトインフルエンサーの言葉は間に受けないようにしましょう。数万人のフォロワーがいるから大丈夫とか、それっぽいことを言っているから信じられるということはありません。

断言します。

目に触れると害となる可能性が高いので、見かけたらブロック推奨です。
大体裏でプロジェクトの運営と繋がっていて報酬をもらって宣伝しているか、価格操作を目的とした買い煽り、売り煽りの類です。
知識の無い初心者が数多く犠牲となっています。

 

16.公式情報でも過信しない

公式発信の情報を過信し過ぎない姿勢というものも重要です。
公式はプロジェクトを盛り上げるために情報を過大にして発信することもあります。
特に価格のことに言及するような内容であれば鵜呑みにしない方がいいでしょう。

何事も常に疑ってかかる姿勢が大事ですが、人付き合いに支障が出るレベルまで疑ってしまうことがないように自戒の念を持つようにしたいところです。

 

17.情報収集先

情報収集先については、Twitter、公式サイトの情報を追っていくのが有用です。
特にTwitterはタイムリーに情報が流れているので情報を掴んでからの数分で大きく価格が動いたりすることもあります。
その反面、FUDや偽情報も溢れているので、情報の取捨選択が大切になります。

 

 

18.FUDに惑わされない

FUDとは、仮想通貨に対する否定的な情報や懸念を広める行為を指します。
市場やプロジェクトの価格操作を目的としてFUDが行われることがあります。

例えば、特定のグループや人が仮想通貨の価値を下げたいと思ってFUDを広めることで、市場参加者の心理的影響を与えて価値下落を誘引します。

価値を下げた後に自分たちが狙っている対象の仮想通貨を安く買い付け、価格が回復した後に高値で売り付けることで利益を得ることを目的としています。

このようなFUDによる狼狽売りなどを避けるためにも、常に情報源を確認して冷静に判断することが大切です。

19.アドレスポイズニング

アドレスポイズニングとは詐欺の手法の一つのことです。

まず詐欺者はユーザーの取引を追跡し、その取引履歴に記録されている受取人アドレスと類似した文字列で詐欺用のウォレットアドレスを作成します。

ここで気をつけたいところが、ウォレットのアドレスは冒頭と最後の数文字のみが表示されるということです。

冒頭と最後の数文字だけ合わせられてしまえば、省略された部分が異なっていてもパッと見は同じアドレスだと思ってしまうでしょう。

次に詐欺者は、その詐欺用アドレスからターゲットとなる者のウォレットに、少量の量のトークンを送金して、ターゲットユーザーの取引履歴にトランザクションを残します。

ウォレットの取引履歴に記録された詐欺用のアドレスを本物のアドレスと誤認したユーザーが、偽のアドレスの方をコピぺして送金してしまうと詐欺者のアドレスに送金されてしまうということになります。

主な予防方法は次の通りです。

1.取引履歴からアドレスをコピーすることは避ける
取引履歴からのコピペは避けましょう。(便利だけれども…)
詐欺用のアドレスを仕込まれていたら終わりです。

2.送金先アドレスが正しいかを都度確認する
送金先のアドレスが正しいかを都度確認することで、うっかりミスも防げるので毎回実践した方が良いです。

3.よく使うアドレスをアドレス帳に登録する
テスト送金等で本物のアドレスであることを確認後にアドレス帳に登録するようにしましょう。間違っても詐欺アドレスを登録してしまったら終わりです。
また、取引所などのアドレスは変更となることもあるため、アドレス帳に登録していても都度送金アドレスが正しいか確認することも大切です。