Phantomにおけるセキュリティ

当記事は、こちらの記事を翻訳・編集したものです。

Security at Phantom

０　主要なポイント

• Web3はユーザーにデジタル資産とアイデンティティの完全な所有権を取り戻す力を与えます。

• ユーザーが自己保管を増やすと同時に、フィッシングによってユーザーの資金を盗もうとする悪意のある人物も増えています。

• Phantomは、業界をリードするセキュリティ機能と専用のサポートチームを提供し、ユーザーの安全を守ります。

１　現在の暗号通貨ユーザーが直面しているセキュリティリスク

暗号通貨においてセキュリティはかつてないほど重要です。最近の中央集権型取引所の失敗は、他人の手に暗号通貨を預けるリスクと自己保管の重要性を明らかにしました。

Web3の真の力は、ユーザーがデジタル資産とアイデンティティを完全に所有し、コントロールを取り戻す能力にあります。プライベートキーを管理することで、ユーザーは暗号通貨を管理し、他人の決定に影響されません。自己保管は、中間者を信頼する必要なく、分散型のWeb3エコシステム全体に直接アクセスできることを意味しますが、それは同時にユーザーが資金、取引、およびセキュリティを完全に管理する必要があることも意味します。

幸いなことに、多くの人々が自己保管が未来の道であると認識し、Phantomのような自己保管ウォレットを採用し始めました。しかし、自己保管の増加は、フィッシングによってユーザーの資金を盗もうとする悪意のある人物の増加も招いています。フィッシングの試みは年々増加し続けています。

このため、私たちはセキュリティを最優先事項としています。Phantomでは、暗号通貨エコシステムとの採用と相互作用がどのように見えるかを大規模に把握することができました。そして、エコシステム全体（NFTプロジェクト、dapps、トークン）が繁栄するためには、ユーザーを詐欺から守る問題を全員で解決する必要があります。

本日、私たちは業界をリードする技術と組織的なセキュリティ対策を用いて、どのようにユーザーを保護しているかを共有できることを誇りに思います。しかし、私たちの方法について話す前に、まずは現在の暗号通貨ユーザーが直面している主要なリスクについて一歩下がって考えてみましょう。

２　フィッシングと悪意のある取引

０　概要

フィッシングは、個人情報をだまし取って悪用する社会工学の一種で、お金や身元を盗むために使われます。インターネットの黎明期から存在しており、暗号通貨の分野ではますます一般的になっています。

特にWeb3では、フィッシングは暗号通貨ユーザーを（エアドロップされたトークンやNFT、欺瞞的なDiscord/Telegramメッセージ、またはウェブサイトを通じて）だまして、プライベートキーのフレーズを明かさせたり、悪意のある取引を承認させたりする行為です。

暗号通貨の分野に精通している人々にとって、経験豊富なユーザーでさえすべてのNFTやトークンを失うという話は、非常に身近なものです。ここでは、今日私たちが目にする多くの話の原因となる主要なフィッシング手法のいくつかを詳しく見ていきましょう。

１　Discord、Telegram、Twitterでの欺瞞的なメッセージ

詐欺師はしばしば、NFTコミュニティや暗号通貨会社のメンバーを装い、ユーザーに対して支援、ガイダンス、または機会を提供すると言って、シードフレーズを引き換えに提供するよう指示します。ユーザーはその後、メッセージを通じて直接シードフレーズを明かすか、偽のサイトにアクセスし、そこで悪意のある取引に署名してウォレットの資金を奪われます。

覚えておいてください：Phantomは決してあなたにシードフレーズを求めたり、取引に署名するよう依頼したりしません。もしそのような要求を受けた場合、それは詐欺です！

２　エアドロップされたスパムトークンとNFT

時々、市場や他の正当なdappと相互作用した後、ユーザーはスパムNFTをエアドロップされます。悪意のある人物はブロックチェーンの活動を監視し、NFTプロジェクトを購入したり、人気のあるdappと相互作用したウォレットにスパムNFTを送信します。

これらのNFTには、画像やメタデータ自体に賞を獲得する方法や無料エアドロップを請求する方法についての指示が含まれていることがよくあります。指示には通常、ユーザーがシードフレーズを提供したり、ウォレットのすべての資金を奪う取引を承認するよう誘導する悪意のあるウェブサイトへのリンクが含まれています。

覚えておいてください：Phantomは決してあなたにシードフレーズを求めたり、取引に署名するよう依頼したりしません。もしそのような要求を受けた場合、それは詐欺です！

３　その他の攻撃方法

• 不正（侵害された）シードフレーズ

• コピー＆ペーストマルウェア

• Devnet SOL詐欺

ご覧の通り、プライベートキーが侵害される以外にも、トランザクションはユーザーが最も攻撃に脆弱な部分です。詐欺師はますます高度な方法を使用して、表面上は正当な取引に見えるが、結果的にウォレットのすべての資産を奪う取引をユーザーに承認させようとします。

この点は繰り返し強調する価値があります。資産を自己保管する場合、承認する取引の全てを自分で管理します。つまり、トランザクションが何を意味するのか、誰と取引しているのか、その取引が何をするのかを正確に理解することがセキュリティの要となります。

最初は恐ろしく聞こえるかもしれませんが、私たちは常にあなたを支援します。私たちの使命は、デジタル経済へのアクセスを誰にでも安全で簡単にすることです。Phantomのチームは、取引時点でユーザーを保護するために技術的および運用的なソリューションに大規模な投資を行っています。そのため、あなたが署名する内容を理解し、自信を持ってWeb3を探索できるようにしています。それでは、詳細を見ていきましょう！

３　取引プレビュー

０　概要

取引プレビューは、悪意のある取引を識別し、ユーザーが承認する前に警告するファイアウォールのようなものです。すべてのPhantomウォレットは取引プレビューを利用しており、これはPhantom内で育成された企業によって運営されています。

取引プレビューは、フィッシング、dAppレベルのDNSハイジャック、ソフトウェアサプライチェーン攻撃など、あらゆる種類の攻撃からユーザーを保護し、リアルタイムの警告と人間が読める取引の文脈を提供します。

https://eset-info.canon-its.jp/malware_info/special/detail/230316.html

PhantomウォレットでNFTをミントするなどのアクションを実行すると、取引をスキャンし、怪しいものがないか積極的に確認します。

１　どのように動作するか

• 取引がブラックリストに載っているプログラムとやり取りしている場合、または不適切にsetAuthorityを呼び出している場合、シミュレーションを検出して回避しようとしている場合、ダングリング承認が結果として生じる場合、または単にウォレットを空にしようとしている場合、大きな警告が表示されます。

• 訪問中のドメインやウェブサイトが、人気のあるNFTプロジェクトと似ていたり、コードを難読化しようとしていたりする場合にも、大きな警告が表示されます。疑わしいトークンとやり取りしている場合も警告が表示されます。

• ブロックされたドメインのハードコーディングされたリストを使用する代わりに、ドメイン、ウェブサイト、取引、および相互作用するトークンに対してルールベースのチェックを実行します。これにより、誰も何も報告しなくても積極的に問題を発見します。

いかなる警告も常に簡単で分かりやすい言葉で提供され、何が起こっているのかを理解しやすくします。私たちが重労働を行い、ユーザーが保護されるようにしています。

Phantomの取引プレビューは、Ethereum、Solana、Polygonに対応しています。製品に組み込まれた機械学習技術のおかげで、詐欺師がユーザーの資金を盗む新しい方法を学習し、常に改善しています。

２　今までの成果

私たちの取引プレビューフィーチャーは、各取引ごとにユーザーを積極的に保護しています。これまでにPhantomの取引プレビューは次の成果を上げています：

• 8500万件以上の取引をスキャン

• 1万8000件以上のウォレット排水取引を防止

• 先月だけで3000人以上のユーザーを保護

• 私たちは、これがあなたが決して使用する必要のない機能であることを願っていますが、とても興奮しています。

４　Phantomのオープンソースブロックリスト

取引プレビューに加えて、私たちは悪意のあるドメインのオープンソースでコミュニティが管理するブロックリストを作成し、Phantomユーザーが誤って接続するのを防いでいます。

悪意のあるトークンやNFTが判明した場合、そのコントラクトアドレスとドメインをブロックリストに追加し、ウォレットからNFTを非表示にし、ユーザーが悪意のあるサイトに接続しようとすると警告を表示します。

ブロックリストは毎日更新され、現在2000以上の悪意のあるドメインが含まれており、Phantomユーザーはこれらのドメインから安全です。また、フィッシングサイトの完全な削除のためにPhishFortと密接に協力しており、これまでに1000以上のサイトを削除しました。

https://www.phishfort.com/

５　NFTをスパムとして報告および非表示にする

Phantom内でスパムNFTを報告し、コミュニティの安全を守る手助けができます。不要なNFTの省略記号アイコンを選択し、「スパムとして報告して非表示にする」をクリックするだけです。

電子メールと同様に、スパムとしてマークされたNFTは自動的に隠しフォルダに移動します。私たちのスパムフィルターは、ユーザーが報告したNFTから学習し、ウォレットに到達する前に不要なNFTを特定し防止するのが上手になります。

これは、コレクションタブを簡単に整理しながら、Phantomコミュニティ全体を保護するための手間のかからない方法です。

６　NFTの焼却

時には、不要なスパムNFTを完全に消去したいこともあります。

そこで役立つのが「Burn NFT」機能です。

この機能はすべてのデバイスで利用可能で、不要なスパムNFTを手動で削除することができます。

不要なウォレットスパムを削除するには、コレクションタブで焼却したいNFTを選択し、右上の省略記号メニューにある「Burn Token」機能を選択します。

NFTを焼却すると、トークンはウォレットから永久に削除され、ストレージの「賃料」として使用された少額のSOLが返還されます。

スパムNFTはウォレットを煩わせますが、焼却しても危険はありません。

Phantomを使用してNFTを焼却すると

• NFTがウォレットから永久に削除されます。

• NFTを焼却することでSOLが返還されます（これは、スパムNFTを送信する際に使われたSOLの一部を取り戻すためです）

• ウォレットが整理されます。

さらに、焼却するのは気持ちがいいものです🔥

Burn NFTは、ユーザーが自分を保護するためのツールをさらに提供するだけでなく、詐欺師に対抗する素晴らしい方法です。

私たちはBurn NFT機能を2022年8月17日に導入し、これまでに60万以上のNFTが焼却されました。

この機能について詳しく知りたい方は、こちらをご覧ください。

７　Phantomの24/7サポートチーム

Phantomユーザーは、以下のことに専念するフルタイムのグローバルサポートチームがいることで安心できます。

• 製品に関する質問への回答

• Web3を安全にナビゲートするための教育

• 混乱したり道に迷ったりしたときにサポート

• 既知のフィッシング詐欺からの保護

• バグの特定、フィードバックの収集、およびユーザー体験の改善

私たちはサポートを真剣に受け止めています。

これまでに、サポートチームは

• 7名のフルタイムサポートエージェントを擁し

• 100万以上の閲覧数を持つサポートサイトを管理

• 3万件以上のチケットを解決

• 平均応答時間14.8時間で問題を解決

質問、コメント、懸念がある場合、またはただ挨拶したい場合は、私たちのサポートチームに連絡してください。彼らは素晴らしいチームです。💜

８　最後のポイント

フィッシングや詐欺との戦いは、常にいたちごっこです。

これらは多くの場合、取引時点で発生します。

• フィッシングと詐欺は技術的な課題だけでなく、巨大な運用上の課題でもあります。

• フィッシングは暗号通貨の主流採用のための最も重要な課題の一つであり、Phantomはこれを解決することに専念しています。

• 私たちは実装したセキュリティ機能に誇りを持っていますが、これは始まりに過ぎません。引き続き、最高のセキュリティ機能、教育、サポートを提供し、全ての人がWeb3を安全に、簡単に、楽しく探索できるよう努めていきます。

９　詳しく知る

Phantomのセキュリティについて詳しくは、こちらをご覧ください。

フィッシングの現状とPhantomがユーザーを保護するために行っていることについてさらに深く知りたい方は、Solana Breakpoint 2022でのCEO Brandon Millmanの講演をご覧ください。