見出し画像

(第十二章)ウォレットをハッキングから守るための対策

仮想通貨レビュー公式

仮想通貨が普及するにつれ詐欺被害も指数関数的に増え、被害報告が絶えないため今回の記事を書くことにしました。

取引所もハッキングの被害に

ご存知のように、仮想通貨の取引所ですらハッキングされることがあります。日本の取引所では2014年にMt.Gox(マウントゴックス)で4億5000万ドル相当のビットコインなどが盗まれ、その後経営破綻をしています。また、2018年にはCoincheck(コインチェック)で5億3000万ドル相当のネムが盗まれました。その他数多くの取引所や個人が被害にあっており、取引所だけでなく自分の身を守るためにも個人間で対策する必要があります。個人での被害は、以前紹介したMetamaskやその他ウォレットからの盗難が多く、全ての仮想通貨を失ったというケースがとても多いです。ではどのように対策したら良いのか?等解説していきたいと思います。

ウォレットをハッキングから守るための対策

ウォレットをハッキングから守るためにはある程度のルールに沿って行動する必要があります。ある程度のルールとは、悪意ある人物が取る行動、罠に引っ掛からないようにすることです。

1. 悪意のあるウェブサイトにアクセス&ウォレットを接続しない

2.シードフレーズ&秘密鍵を教えない

3.無闇矢鱈にアプリをインストールしない

これだけ!?と思いますが、この基本的なことを守るだけで一定のセキュリティが担保され被害に合う確率がガクッと下がります。以下で詳細を解説します。

1. 悪意のあるウェブサイトにアクセス&ウォレットを接続しない

誰もそんなことしないよ!と思われる方が多いですが、その場面に直面すると簡単にアクセス&接続してしまいます。

画像1

これはMetamaskの公式ウェブサイトです。

と言われると信じてしまいませんか?ウェブサイトはソースコードが公になっているため、見た目をコピーするのは非常に簡単です。悪意ある人物からしても低コストで実行できる詐欺の1つなので注意する必要があります。よくあるケースとして、偽ウェブサイトに誘導し情報を抜き出す、フィッシング詐欺が多く、悪意ある人物からEメールやSNSから誘導されることがあります。ご自身の迷惑メールボックス等でURLを送りつけてくるような送信者を目にしたことがあると思います。あれのもっと手が込んでいる版だと思って良いです。
私の場合沢山のプロジェクトに目を通しているため、ほぼ毎日のようにフィッシング詐欺を目にし、被害にあっている方も目にすることがあります。私自身にも悪意ある人物から連絡が来る場合があります。
例えば、とあるプロジェクトのプレセールが開始されていないにも関わらず、悪意ある人物がプロジェクトの参加者に偽URLを送信し、偽プレセール開催場に案内、ウォレットの接続を要求したり、偽のトークンを購入させるケース。また、困っている人を見つけると、サポートの振りをして、解決するにはウォレットの「シードフレーズ」が必要だと案内する等、非常に手口が巧妙です。仮に偽トークンを購入してしまった場合やウォレットを盗まれた場合、お金が戻ってくることはほぼありません。私自身もハッキング被害を受けた取引所の内部調査をしたことがありますが取り返すのは困難です。例え、公式からの案内だとしても本当に正しい情報なのか?どうかを確認する癖をつけるのが良いです。「プレセールは本当に行われているのか」、「アクセスしているウェブサイトは正しいドメインなのか」、「ウェブサイトアクセス時にウォレットの接続を要求されたが本当に必要なのか(以前アクセスしたことがあるウェブサイトにウォレットを接続したことがある場合、再接続を要求されることはないため、失善的に見た目が同じウェブサイトでも偽のウェブサイトの可能性がある ※ブラウザのキャッシュ等をクリアしたりした場合は別)」等、疑うことも必要です。

2.シードフレーズ&秘密鍵を教えない

以前にも紹介したMetamaskやその他ウォレットをインストールする際に取得する、「シードフレーズ」・「秘密鍵」は第三者に共有しないようにしましょう。ウォレットを復元する際に使用するため、第三者に共有してしまうとウォレット自体を盗まれてしまう危険があるためです。くどいようですが、オフィシャルやサポートを名乗るような人物から聞かれたとしても、どのような理由があっても教える必要はありません。

3.無闇矢鱈にアプリをインストールしない

ここに関してはウォレットのハッキング対策だけでなく端末内の全ての情報を守るためにも必要なことです。パソコンやスマートフォンにしても、悪意あるアプリ経由で端末をハッキングし、ウォレットだけならず様々な情報を盗むことも容易です。例え、Google Play StoreやApp Storeで配信されているアプリでも詐欺アプリの可能性が少なからずあります。Windowsの場合はExeファイル、Macbookの場合はAppファイル等、必要最低限のもの以外はインストール&実行しないようにしましょう。

まとめ

・知らないウェブサイトへのアクセス、ウォレットの接続は安易にしない

・ウェブサイトにアクセスする際は必ずhttps通信されているかどうかを確認する(URL部分に鍵マークのアイコンがあるか)

・可能であればウォレット専用のブラウザ(例えばBrave)、ネットサーフィン専用のブラウザ(例えばGoogle Chrome)と分けるとセキュリティ面にも良(可能であれば専用端末を準備も有)難しい場合は、ネットサーフィン時にシークレットウィンドウを使用し、履歴&クッキー等を残さないように運用する。上記の意味がわからない場合は、Chrome シークレットウィンドウ 使い方等と調べてみてください。

・セキュリティが高いコールドウォレット(ハードウェアウォレット※USBで接続するタイプのウォレット)を使用するのも良

・公式ページ以外の外部で情報を得た場合、必ず公式で公開されている情報と同じ内容かどうかを確認する(リリース日やウェブサイトのURL、契約アドレス、上記のプロジェクトのような場合だと送信元のEメールアドレス)

・開発者やプロジェクト、サポートチームが個人に直接メッセージを送ることはほぼ無い

・無闇矢鱈にアプリをダウンロード&実行しない

他にも注意すべき点は沢山ありますが、ここを抑えればある程度は防ぐことができると思いますので参考にしてみてください。

サポートしていただけると感激します。よろしくお願いします。