見出し画像

鍵管理の極意 ~安全にハードウェアウォレットを使おう~ 前編:誰も信用するな!信用してはいけないものリスト

チューリンガム株式会社

はじめに

Turingum CTOのなまはげです。
今、暗号資産の秘密鍵管理が大きな問題になっています。
MetamaskのリサーチャーのTay氏が発見したような大規模な秘密鍵の流出によるブラウザウォレット・ハードウェアウォレットを問わない資産の流出が観測されています。原因は今も不明であり、Redditのフォーラムを中心に様々な憶測が飛び交っていますが一つ重要な真実があります。それは
秘密鍵の生成と管理はどれほど手を尽くしても尽くしすぎることはない
ということです。Reddit上での議論の中では秘密鍵を生成するためのアルゴリズムに欠陥があった可能性や、その秘密鍵をLastpassのようなオンラインのパスワード管理ツールに入力してしまい、結果的にオンラインに流出する結果となったことを指摘する声などが上がっています。
重要な資産をMetamaskなどのブラウザウォレットで管理するのはもちろん論外です。このような管理をしている人はすぐにハードウェアウォレットか取引所に移しましょう。ブラウザウォレットに入れるくらいであれば取引所に預けたほうがよほど安全です。
秘密鍵の管理はとにかく重要なことが多いのですが、今回はあまりクリプトに慣れていない個人でも十分に可能な範囲でのハードウェアウォレットを使った秘密鍵防衛法の極意をお教えしたいと思います。Turingumのメンバーもこのような方法で鍵を管理しています。
前後編に分けてお送りするこのシリーズ、今回は「鍵管理の心構え」についてお伝えしようと思いいます。

誰も信用するな!信用してはいけないものリスト

秘密鍵が流出する理由は実は一つだと言えます。それは
本来信用できないものを信用してしまったこと。そしてそれを許した己の心の甘え。」です。
秘密鍵は暗号資産管理のおける心臓部分です。
これが流出ないしは紛失してしまうとその時点で全ての資産は失われてしまいますし、オンラインで待ち構えているハッカーはこれらの秘密鍵を狙っています。
したがって少し馬鹿げていると感じてもあらゆるエンティティに秘密鍵を推測するための十分な情報を与えずに管理していくことが何よりも重要になります。そしてこの心構えこそが鍵管理の極意と言えます。
ここでは特に信用しがちな、そして間違えがちなポイント三点について解説します。

販売業者とGoogleを信用するな

そもそもそのハードウェアウォレットはどこからやってきたものでしょうか?
ヤフオクやメルカリで買っているのはそもそも論外です。楽天やAmazonも少し怖いと感じてしまいます。これらの信用できない販売業者のハードウェアウォレットには固定の秘密鍵を表示したり、生成した鍵を流出させるフェイクのデバイスが混ざっている可能性があります。ソフトウェア側の認証がある場合もありますが、気をつけるに越したことはありません。必ず公式サイトから購入しましょう。
それはハードウェアウォレットを取り扱うためのソフトウェアをダウンロードする際も一緒です。
そのURLは正しいURLでしょうか?「ledger」が「1edger」みたいになっていたりしませんでしょうか?Googleなどの検索エンジンでは広告などによってまれにこれらの詐欺サイトが上位に表示されることがあります。絶対にこれらのサイトから購入やソフトウェアのダウンロードはしないようにしましょう。

乱数アルゴリズムを信用するな

ハードウェアウォレットを購入したら、次は秘密鍵の生成ですがここにも落とし穴があります。
これはつい先日のニュースですが、Trust Walletという大手のウォレットのChrome拡張機能において一時期秘密鍵を生成するアルゴリズムに欠陥があり、秘密鍵が推測可能になっていたという事件がありました。
乱数生成は秘密鍵生成の根幹ともいえるものですが、必ずしも信用できるわけではないことに留意しましょう。(LedgerやTrezorなどに搭載されているアルゴリズムは比較的信頼性が高いといえるでしょう。)
とはいえ、コインを256回投げるのも非常に大変ですし、それを秘密鍵に直すのもそれなりに技術力が必要です。(筆者は昔256回500円玉を投げて鍵生成しましたが、親指が取れるかと思いました。せめて軽い100円玉でやるべきでした。。。)

自分を信用するな

最後に信用してはいけないもの、それは自分です。
ハードウェアウォレットの入った鞄を公衆トイレに忘れてくるかもしれません。
ハードウェアウォレットにカップ麺のスープをこぼして壊してしまうかもしれません。
家が火事になってシードフレーズを書いた紙が灰になってしまうかもしれません。
これらのリスクの最大の要因はズバリ「自分」です。
自分に過度の信用をしないようにしましょう。

いかがでしたでしょうか?
鍵管理をされたことがない方は「ここまでするのか!?」と思われたことと思います。
私たちの秘密鍵を奪おうとしている人たちはどこにいるかわかりませんし、どこで秘密鍵を失ってしまうかもわかりません。したがって少しでも鍵を失う確率を下げる心構えを持つ必要があります。
後編では具体的にどのような対策をもってこのような鍵管理を実現していくのか、具体的な手順や手段をお教えします。

弊社では実績豊富なプロフェッショナル達が手厚くサポートしながら皆様のビジネスに合ったWeb3の構築を行うことができます。 Web3ビジネスをご検討中の方や、現在Web3に関してお困りの方は、是非お気軽に弊社へご相談ください!


この記事が気に入ったらサポートをしてみませんか?