Cardanoユーザが日常にあるリスクを回避して、安全に資産を運用するために

始めに

暗号資産を扱う上でウォレットの管理は全てユーザに委ねられています。ガイドラインも出ている通り、管理には難しい部分もあります。実際にやってみたレポートを載せつつ、盗難や詐欺に合わないように安全に過ごせることを願って記事にしております。

よくあるセキュリティ事故

セキュリティトレーニングを受けたことがきっかけで、ステーキングにおいて個人がどんなところに気をつけることができるか考えてみました。日常的にご参考になりそうな部分を共有いたします。「そんなことか」と思われがちですが、毎回数名は詐欺に遭ってしまうようです。定期的に気にすること、心掛けることだけで安心につながるのではと思い記事にしてみました。

企業のセキュリティ事故で一番多いのはメール関連だそうです。

• 誤送信：違うお客様へ別のお客様の資料を送ってしまう。送信先の宛先を間違える。結果、企業の信頼が失墜する。

• フィッシング詐欺：偽りのメールから偽造サイトへ誘導、パスワードなど重要な個人情報を盗み出す（パスワードの期限切れを装うなど）。結果、個人情報や重要なパスワードなどが第三者の手に渡る。

共通するのは些細なことから起き、その影響が直接的で大きいことです。

例

暗号資産関連ではフィッシング詐欺やギブアウェイ詐欺がよく聞かれます。

• メールだけではなくSNSを通じて、儲け話をうたい、アカウント情報を記入させるフォームなどを通して、メールアドレス、パスワード情報を取得します。

• 「倍になって返ってくる」と言って資産を送るように言われその通りにしたが、結局戻ってこないなど。

対策

• 知らない相手からメールが来た時、開封しない、安易にURLをクリックしないこと。

• 送信元が信頼できる相手かを確認すること。例えばクレジットカード会社を名乗っていたとしても、送信元のアドレスをよくよくみてみると「あれおかしいな」と気づくこともあります。

カルダノでは

• 多額の資産を送金させるように誘導されていないか注意します。

• ウォレットを作成する時にも警告がありますが、ウォレットの復元フレーズを他人に教えないこと。

復元フレーズの取り扱いや、フィッシング詐欺に関して、公式のブログ「Cardanoユーザーのサイバーセキュリティガイドライン」もご確認ください。

関連情報

フィッシング詐欺に注意｜基本的な対策｜一般利用者の対策｜国民のための情報セキュリティサイト

Cardanoユーザーのサイバーセキュリティガイドライン

特にADAの価格が上昇してくると、詐欺だろうと思える活動が増える傾向にあります。下記IOHKのウェブサイトに注意喚起が書いてありますので、一度読んだ事がある方も、まだの方もご一読いただけると安全につながるのではないかと思います。ウォレットを中心としたセキュリティガイドです。

Cardanoユーザーのサイバーセキュリティガイドライン

ウォレットのダウンロードは公式サイトから

1.Daedalusのダウンロードは必ず公式サイトからのみ行ってください

過去に、Google Playに偽物のDaedalusウォレットがでまわることがありました。モバイル用だからということで、便利そうでつい気になってしまいます。公式のDaedalusウォレットのサイトにリストされているもの以外は、くれぐれもダウンロードしないようにしましょう。※ しばらくすると、違反報告を受けるなどをして、リストされなくなります。

Daedalusウォレットのみではなく、Yoroiも含め、資産を管理するウォレットなどは特に必ず公式で確認できるサイトからダウンロードするようにしましょう。ガイドの通り、セキュリティの理由からプール運営のウェブサイトも直リンクは貼っていません。万が一貼ってあって使用する場合は手順2を必ずやります。ダイダロスではウォレットからアップグレードできるようになったので安全性が上がりました。

署名およびチェックサムの検証

2.公式ウェブサイトに掲載されているDaedalusインストーラーの署名およびチェックサムを常に確認してください

こちらの手順はやってみて少し難しいと感じましたが、インストールする一番最初のみのチェックとなります。可能な場合はぜひ実施しておき、安心してウォレットを使いましょう。既にインストール済の方は飛ばしてしまって問題ございません。

署名およびチェックサムの確認は、ダウンロードしたファイルが本当に正しいものかの確認になります。

ダウンロード画面に「署名の検証」とあって（赤枠線内）、ここをクリックすると、確認方法の手順が表示されます。基本はそちらに沿って実施ください。

以下、手順通りにやってみた流れになりますので、公式サイト手順の補足としてみていただければと思います。一部表示などが合わない事がありましたのでソフトウェアのバージョンなどで違いが出てくるものかと思われます。

復元フレーズ保管方法

3.復元フレーズは、オフラインの安全な場所に保管してください

ウォレットの復元フレーズは、紙媒体などオンラインに晒されない場所に保管します。ステークプールのコールドキーも同様ですが、紙媒体とはいかない場合、USBに保管（バックアップもとる）などの対応も有効です。まずは決してインターネットにつながるようなラップトップ、クラウド、スマートフォンなどに保管しないようにします。（そもそもネットを通しての転送などはしないようにする）また、スクリーンショット、写真としての保管も推奨されません。守るべき資産額とも相談をしてハードウェアウォレットの検討も有効です。

詳細に関しては「Cardanoユーザーのサイバーセキュリティガイドライン」もご確認ください。

資産を取引所に放置しない

復元フレーズをユーザが自己管理することで資産の所有権や責任もユーザにあります。取引所に資産を置いてある場合は、それをすべて第三者（取引所など）に委ねている状態となります。可能な限りウォレットへ移動しておくことが推奨されます。過去に見られた事例から、下記のようなリスクがあります。

• 第三者側の都合（メンテナンス、取引停止など）で引き出したいときに引き出せなくなる可能性がある。

• 第三者がハッキングによる盗難を受け、資産の返却が保証されない可能性がある。

スキャム

初めて間もないユーザは、無料のギブアウェイ（「1000 ADAを無料で配布します」など）のターゲットにされやすいようです。どのような形であれ、暗号資産、復元フレーズ、送金パスワードなどの送付を依頼された場合は、まずは応じないようにしましょう。特に「〇〇日の〇〇時までが締め切りです」など急がせて判断力を失わせるような告知が良く見られます。

公共の場で使える共有のPC

4.共有のコンピューターや公共のコンピューターでは絶対にDaedalusを使用しないでください

データベース同期に時間がかかるため、Daedalusウォレットをダウンロードしてその場で使うというケースはなかなかないと思いますが、ウォレットによっては「飛行機の待ち時間もあるし少し確認したい、気になるNFTのセールが明日まで、自宅のPCが一時的に壊れてしまっている」などが理由で起こりえるかもしれません。

ネットカフェ、空港、ホテルなど共有のPC上に、使用後削除したと思っても大事なデータを残したままになる可能性がありますし、マルウェアが入っている可能性もあります。ブラウザのパスワード自動保存機能なども怖いです。オペレータ作業に関しても、そのような環境を使用することはないと思いますが同様です。

専用デバイスを使用

5.暗号通貨に関する作業用に、できるだけ専用のデバイスを用意してください

専用のPCを用意するのが理想ですが、100%守ることは現実的に難しそうです。メールやウェブサイトを使用する中でどんなリンクを踏んでいるか、どんなソフトウェアをダウンロードしているか分からないため、いつの間にかウィルスに感染している可能性もあるのでご注意ください。

プールのオペレーションに関しても同様と思います。最近は自動でクラウドにファイルを転送したりする機能もあるので、意図せず色々な場所へアップロードしているということがないように、普段の操作に気を付けるよう心がけましょう。

6~14に関しては、日常的なPCの使い方としても有効です。具体的なパスワードの作り方なども載っていますので、ご確認いただけると安心した運用ができると思います。

6.強力な送信時パスワードを使用してください
7.システムを最新の状態に保ちましょう
8.ファイアウォール
9.ウィルス/マルウェア対策ソフトをインストールしましょう
10.クリックは慎重に
11.フィッシング詐欺に気を付けてください
12.コンピューターを放置しないでください
13.暗号通貨の保有に関して話題にしないでください
14.コンピューターの修理

注意喚起

悲しい事件に遭ったことを元に、コミュニティに向けて注意喚起をしていただいている方の情報を少しまとめたいと思います。

ギブアウェイ詐欺にご注意

I've gotten 26 emails this week from people falling for Giveaway scams. Over a million dollars worth of ada was stolen. Stop being stupid!!!https://t.co/2EfxzWvmDa I will never give away ada. You will always lose your money. USE YOUR FUCKING BRAIN!

— Charles Hoskinson (@IOHK_Charles) May 8, 2021

ステークプールオペレータの誓約金が盗まれた件

Back to Basics — Security measures every Cardano Stake Pool Operators should know and implement

トロイの木馬に感染

知らずのうちにダウンロードしてしまったTrojan keylogger & backdoor remote controlによるもので、ダイダロスウォレットの送金パスワードにアクセスするような動きをするものがあったようです。

1/3 Last week I helped one of our community members track down how they lost 122,865 ADA 😭

Their PC got infected with trojan keylogger & backdoor remote control. Keylogger sniffed the Daedalus wallet spending password. Rest is history. Life savings GONE.

— GROW, Raymond Mata, $DANA ISPO Pool (@PoolGrow) March 31, 2021

保護パスワードの自動削除機能

復元フレーズ（Daedalus, Yoroi, Ledger, Trezor, GPG, SSH, 2FA recovery codes）が保存されたhardware encrypted flash key（パスワードがかかったUSBみたいなもの？）を開く際にパスワードを複数回間違い、そのため、データ保護のために削除されてしまったというケースもあったようです。USB保護の場合はバックアップを用意するのも有効です。自動削除機能にはご注意ください。

1/ This is a very sad day for me and for @insaladaPool. Long story short: my most important digital life files are forever gone. Everything SALAD, #Cardano, Daedalus, Yoroi, Ledger, Trezor, GPG, SSH, 2FA recovery codes, and more. All gone. #CardanoCommunity #ada $ada

— Insalada (RIP Stake Pool) (@insaladaPool) April 8, 2021

まとめ

以上、安全なウォレットの取り扱いやプール運用のために身近にあるリスクや、注意できることをみてみました。基本的なことですが、意外と意識せずやってしまっていることや、心がけるだけでリスク回避につながることなどありますので、定期的にご確認いただければ幸いです。

---

最後まで読んでいただき、ありがとうございます。
カルダノを一緒に応援したいという方は、Twitterのフォローやスキなどしていただけると嬉しいです。
役に立ったなどありましたら、SUGARステークプールへのご委任のご検討、ご協力をどうぞよろしくお願いいたします。