暗号資産のセキュリティー応用編（外部ウォレットの保護）

はじめに

前回はCEX（中央集権型の取引所）で購入し保管する暗号資産のセキュリティー管理の基礎をまとめました．これでまだ暗号資産を始めたばかりで長期保有のみが投資戦略という人は十分でしょう．しかし暗号資産の醍醐味はDAppで実際にブロックチェーン上で活動を行うことです．こういった場合には，ノンコストディアルな外部ウォレットを使用することになります．
ノンコストディアルという用語が突然出てきましたね．難しそうなことは抜きにして要点は自分自信で外部ウォレットをオンチェーン上に作成し管理することと思ってください．つまりすべては自己責任の世界で資産が紛失しても誰も助けてくれません．ではそういった点を考慮した上でハッキング被害を防ぐにはどうしたら良いかまとめていきます．
 

世界でもっとも普及するウォレットアプリ，”Metamask”

ウォレットアプリには様々な種類が存在しています．ただ最も代表的なのはMetamaskではないでしょうか．私は2017年から使用しています．最も普及しているウォレットアプリでConsensysという会社が開発に深く関与しています．ここではまずMetamaskのセキュリティー対策に焦点を置いて紹介していきます．

HWW(Hardware Wallet)を使いましょう！

Metamaskなどのノンコストディアル型のウォレットを高いセキュリティーを維持したまま使用する代表的な手法は，ハードウェアウォレット（以下HWW）を使用することです．こちらも様々なメーカ製品がすでに登場していますが，私がおすすめするのはLedger社のNano SかLedger nano xです．前者のほうがコストが安く導入が容易なので，まずはそちらから購入してみると良いでしょう．MetamaskはこのHWWなしでも機能します．しかしセキュリティー上は非常に脆弱です．なぜならあなたの生成したウォレットへの権限を得るために必要な秘密鍵がブラウザに保存されているためにハッキング被害を受けると盗み出されてしまうからです．ブラウザの脆弱性（ハッキング可能な穴と思ってください）は頻繁に発見されていてこまめなセキュリティーアップデートの更新が当然ながら必要です．それだけアップデート徹底していてもデータがコンピュータ上に存在していてハッカーに侵入を許せば資産をまるごと抜かれてしまいます．それを防止してくれるのがHWWになります．原理は非常に簡単でブラウザに保存される秘密鍵のデータがHWW内に入っているので，物理的にアクセスしなければ盗み出せない仕組みになっています（上級編では既知のHWWハッキング方法も紹介する予定ですが、そちらはひとまず無視します）．
 
設定方法についてはGoogle検索でいくつかひっかかります．それほど難しくありませんが，自信がないかたはYoutubeなどで解説を見てからやってみると良いでしょう．
Ledger Nano X設定方法：

【Ledger Nano X】初期設定の手順を画像つきで詳しく解説

Ledger Nano S設定方法：

Ledger Nano Sの使い方

ちなみに私はCoinaseエディションが欲しかったためにLedger Nano Xユーザです．これはCoinbaseが開発しているノンコストディアルなウォレットアプリであるCoinbase WalletがLedger Nanoに対応したことを記念した限定モデルになります．

2022年の投資戦略(DeFi編)

注意点1：HWWの購入方法

HWWウォレットを購入に際しては必ず正規代理店かLedgerのオンラインストアから購入しましょう．間違ってもヤフオク, メルカリ，ebay, 場合によってはAmazonや楽天ストアで売られているものは買ってはいけません！ここは原理原則です．絶対にこのルールを守ってください．中古品が安く売られているからお得ではないかと思ってしまいがちですが、ほとんどがあなたの資産を狙ったリスティングです．Ledgerではシードフレーズが各ロットに割当られていてこれを他者に知られてしまうと秘密鍵を復元されてしまいます．つまりあなたが中古で購入したHWWのシードフレーズがすでに他者に渡っていた場合には，第3者があなたの資産へ簡単にアクセス可能な状態と思ってください．これは結構古典的な手法ですが，数年前から被害があとを絶ちません．繰り返しますが，Ledgerの正規代理店か本社のオンラインストアで購入しましょう．また送付記録は必ずフランス本社から送られてくるはずです．Ledgerの製造工場がフランスのパリにあるはずですのでそこもしっかり確認してください．正規品は必ずフランスから送付されます．その情報はDHL（ヨーロッパで代表的な運送業者）のトラッキングサービスで追跡可能です．

注意点2：シードフレーズの保存

シードフレーズをかならず控えて、安全な場所に保管しておきましょう．これは非常に大切な復元キーになります．例えHWWが故障しても大丈夫です．このシードフレーズさえあれば復元することが可能だからです．火災などが不安であれば防火金庫にこのシードフレーズを保存すると良いでしょう．そこは保管されている資産のレベルに応じてセキュリティーレベルを各々で判断してください．簡単な方法はステンレスなどの金属版にレーザーなどで刻印しておくことです．こうすれば火災でも焼け残ってあとから回収が可能です．実際Ledger社はそういったシードフレーズ保管用の金属カプセルの製品も提供しています．私は，紙に記録して安全な場所にいくつかバックアップを保管しています．

長期保存（高額なNFTの保管など）

DeFiで頻繁に流動性提供やスワップを行う目的であれば，Metamaskのブラインド署名を常に有効にしておいても良いでしょう（LedgerのETHとPolygonなどでは必ず必要です）．しかし高額のNFTなどを長期間保存する場合は専用のHWWを用意して，オフラインで保管時には資産転送後にこのブラインド署名をオフにして保管してください．
これは上級編で解説予定ですが，これをやっておけば更に安心という対策です．この設定を行ったあとはPCから外して安全な場所にオフラインで保管します．また動かす必要があるときだけブラインド署名を一時的にオンにして信頼のおけるサイトでスマートコントラクトを動かす許可を出してください．
 

iOSやMacOSデバイスではiCloudへの保存はしない

これは，最近ニュースになった話題なので，すでに知っている人もいるかと思いますが，当然ながらiOSデバイス（iPhone, iPad）でMetamaskを使うときにはデフォルトではiCloudへプライベートキーがバックアップされてしまいます．これが漏洩するとあなたの資産は抜かれる可能性があります．iCloudデータが盗まれた経緯は以下の通りです．

• 政府機関の一部職員のメールアドレス（本物）とMicrosoftクラウドのアカウント情報が漏洩

• ハッカーが政府機関の職員のアカウントをのっとり，なりすました上で緊急性が高い通報としてApple側へ情報提供を呼びかけました.

• Apple側は政府機関の正式な署名いりのメールのため従う判断を下しiCloud上の照会のあったユーザーデータを特別に提供しました．

• ハッカーはそれでプライベートキーを探しだし，資産を盗みだしました．

北米では，サーチワラント（捜査令状）を裁判所が発行しなければ，こういった要求に応じる法的必要性はありませんが，緊急性が高い場合（殺人や集団殺戮の計画のおそれ）は特例として緊急通報による捜査当局にデータ提供が慣習化しており，そこを突かれた形となりました．
こういったことを防ぐために秘密鍵の情報などはオフラインに保管することが望ましいです．決してgoogle driveやiCloudに暗号化をかけずに保存してはいけません．尚暗号化したあとに保存するのは私はありだと思います．ただZIPファイルのような簡単なパスワードロックは時間さえあればロック解除可能なので意味がないことは理解してください．これらは実用的な時間（数時間から数日）以内に市販の高性能PCで解読可能です．
 

最新のトークンではHWWに対応していないものも存在

これは仕方ないのですが，最新のプロダクトはもちろんLedger のHWWに対応していないことが多いです．私が保有しているものではEVMOSとAcalaなどがこれに相当します．これはソフト側がキャッチアップするのに時間がかかるので仕方ない面はあります．
私の場合は割り切って，使用していますが，不安なら参加は見合わせたほうがよいでしょう．それは各々のリスク評価と判断です．
なおLedgerについてはCosmosエコシステムで必須のKeplrなどのウォレットにも対応しています．Osmosisをよく利用するひとは必ず導入しましょう．