Cardanoユーザが日常にあるリスクを回避して、安全に資産を運用するために
始めに
暗号資産を扱う上でウォレットの管理は全てユーザに委ねられています。ガイドラインも出ている通り、管理には難しい部分もあります。実際にやってみたレポートを載せつつ、盗難や詐欺に合わないように安全に過ごせることを願って記事にしております。
よくあるセキュリティ事故
セキュリティトレーニングを受けたことがきっかけで、ステーキングにおいて個人がどんなところに気をつけることができるか考えてみました。日常的にご参考になりそうな部分を共有いたします。「そんなことか」と思われがちですが、毎回数名は詐欺に遭ってしまうようです。定期的に気にすること、心掛けることだけで安心につながるのではと思い記事にしてみました。
企業のセキュリティ事故で一番多いのはメール関連だそうです。
誤送信:違うお客様へ別のお客様の資料を送ってしまう。送信先の宛先を間違える。結果、企業の信頼が失墜する。
フィッシング詐欺:偽りのメールから偽造サイトへ誘導、パスワードなど重要な個人情報を盗み出す(パスワードの期限切れを装うなど)。結果、個人情報や重要なパスワードなどが第三者の手に渡る。
共通するのは些細なことから起き、その影響が直接的で大きいことです。
例
暗号資産関連ではフィッシング詐欺やギブアウェイ詐欺がよく聞かれます。
メールだけではなくSNSを通じて、儲け話をうたい、アカウント情報を記入させるフォームなどを通して、メールアドレス、パスワード情報を取得します。
「倍になって返ってくる」と言って資産を送るように言われその通りにしたが、結局戻ってこないなど。
対策
知らない相手からメールが来た時、開封しない、安易にURLをクリックしないこと。
送信元が信頼できる相手かを確認すること。例えばクレジットカード会社を名乗っていたとしても、送信元のアドレスをよくよくみてみると「あれおかしいな」と気づくこともあります。
カルダノでは
多額の資産を送金させるように誘導されていないか注意します。
ウォレットを作成する時にも警告がありますが、ウォレットの復元フレーズを他人に教えないこと。
復元フレーズの取り扱いや、フィッシング詐欺に関して、公式のブログ「Cardanoユーザーのサイバーセキュリティガイドライン」もご確認ください。
関連情報
Cardanoユーザーのサイバーセキュリティガイドライン
特にADAの価格が上昇してくると、詐欺だろうと思える活動が増える傾向にあります。下記IOHKのウェブサイトに注意喚起が書いてありますので、一度読んだ事がある方も、まだの方もご一読いただけると安全につながるのではないかと思います。ウォレットを中心としたセキュリティガイドです。
ウォレットのダウンロードは公式サイトから
過去に、Google Playに偽物のDaedalusウォレットがでまわることがありました。モバイル用だからということで、便利そうでつい気になってしまいます。公式のDaedalusウォレットのサイトにリストされているもの以外は、くれぐれもダウンロードしないようにしましょう。※ しばらくすると、違反報告を受けるなどをして、リストされなくなります。
Daedalusウォレットのみではなく、Yoroiも含め、資産を管理するウォレットなどは特に必ず公式で確認できるサイトからダウンロードするようにしましょう。ガイドの通り、セキュリティの理由からプール運営のウェブサイトも直リンクは貼っていません。万が一貼ってあって使用する場合は手順2を必ずやります。ダイダロスではウォレットからアップグレードできるようになったので安全性が上がりました。
署名およびチェックサムの検証
こちらの手順はやってみて少し難しいと感じましたが、インストールする一番最初のみのチェックとなります。可能な場合はぜひ実施しておき、安心してウォレットを使いましょう。既にインストール済の方は飛ばしてしまって問題ございません。
署名およびチェックサムの確認は、ダウンロードしたファイルが本当に正しいものかの確認になります。
ダウンロード画面に「署名の検証」とあって(赤枠線内)、ここをクリックすると、確認方法の手順が表示されます。基本はそちらに沿って実施ください。
以下、手順通りにやってみた流れになりますので、公式サイト手順の補足としてみていただければと思います。一部表示などが合わない事がありましたのでソフトウェアのバージョンなどで違いが出てくるものかと思われます。
復元フレーズ保管方法
ウォレットの復元フレーズは、紙媒体などオンラインに晒されない場所に保管します。ステークプールのコールドキーも同様ですが、紙媒体とはいかない場合、USBに保管(バックアップもとる)などの対応も有効です。まずは決してインターネットにつながるようなラップトップ、クラウド、スマートフォンなどに保管しないようにします。(そもそもネットを通しての転送などはしないようにする)また、スクリーンショット、写真としての保管も推奨されません。守るべき資産額とも相談をしてハードウェアウォレットの検討も有効です。
詳細に関しては「Cardanoユーザーのサイバーセキュリティガイドライン」もご確認ください。
資産を取引所に放置しない
復元フレーズをユーザが自己管理することで資産の所有権や責任もユーザにあります。取引所に資産を置いてある場合は、それをすべて第三者(取引所など)に委ねている状態となります。可能な限りウォレットへ移動しておくことが推奨されます。過去に見られた事例から、下記のようなリスクがあります。
第三者側の都合(メンテナンス、取引停止など)で引き出したいときに引き出せなくなる可能性がある。
第三者がハッキングによる盗難を受け、資産の返却が保証されない可能性がある。
スキャム
初めて間もないユーザは、無料のギブアウェイ(「1000 ADAを無料で配布します」など)のターゲットにされやすいようです。どのような形であれ、暗号資産、復元フレーズ、送金パスワードなどの送付を依頼された場合は、まずは応じないようにしましょう。特に「〇〇日の〇〇時までが締め切りです」など急がせて判断力を失わせるような告知が良く見られます。
公共の場で使える共有のPC
データベース同期に時間がかかるため、Daedalusウォレットをダウンロードしてその場で使うというケースはなかなかないと思いますが、ウォレットによっては「飛行機の待ち時間もあるし少し確認したい、気になるNFTのセールが明日まで、自宅のPCが一時的に壊れてしまっている」などが理由で起こりえるかもしれません。
ネットカフェ、空港、ホテルなど共有のPC上に、使用後削除したと思っても大事なデータを残したままになる可能性がありますし、マルウェアが入っている可能性もあります。ブラウザのパスワード自動保存機能なども怖いです。オペレータ作業に関しても、そのような環境を使用することはないと思いますが同様です。
専用デバイスを使用
専用のPCを用意するのが理想ですが、100%守ることは現実的に難しそうです。メールやウェブサイトを使用する中でどんなリンクを踏んでいるか、どんなソフトウェアをダウンロードしているか分からないため、いつの間にかウィルスに感染している可能性もあるのでご注意ください。
プールのオペレーションに関しても同様と思います。最近は自動でクラウドにファイルを転送したりする機能もあるので、意図せず色々な場所へアップロードしているということがないように、普段の操作に気を付けるよう心がけましょう。
6~14に関しては、日常的なPCの使い方としても有効です。具体的なパスワードの作り方なども載っていますので、ご確認いただけると安心した運用ができると思います。
注意喚起
悲しい事件に遭ったことを元に、コミュニティに向けて注意喚起をしていただいている方の情報を少しまとめたいと思います。
ギブアウェイ詐欺にご注意
ステークプールオペレータの誓約金が盗まれた件
トロイの木馬に感染
知らずのうちにダウンロードしてしまったTrojan keylogger & backdoor remote controlによるもので、ダイダロスウォレットの送金パスワードにアクセスするような動きをするものがあったようです。
保護パスワードの自動削除機能
復元フレーズ(Daedalus, Yoroi, Ledger, Trezor, GPG, SSH, 2FA recovery codes)が保存されたhardware encrypted flash key(パスワードがかかったUSBみたいなもの?)を開く際にパスワードを複数回間違い、そのため、データ保護のために削除されてしまったというケースもあったようです。USB保護の場合はバックアップを用意するのも有効です。自動削除機能にはご注意ください。
まとめ
以上、安全なウォレットの取り扱いやプール運用のために身近にあるリスクや、注意できることをみてみました。基本的なことですが、意外と意識せずやってしまっていることや、心がけるだけでリスク回避につながることなどありますので、定期的にご確認いただければ幸いです。
最後まで読んでいただき、ありがとうございます。
カルダノを一緒に応援したいという方は、Twitterのフォローやスキなどしていただけると嬉しいです。
役に立ったなどありましたら、SUGARステークプールへのご委任のご検討、ご協力をどうぞよろしくお願いいたします。
この記事が気に入ったらサポートをしてみませんか?