仮想通貨、NFTハッキング対策マニュアル。資産を守る９つのポイント

暗号資産やNFTを管理するうえで、セキュリティの重要性はとても重要です。たとえばNFTを使って数百万円の含み益が出ました、、それが一夜にして消えることもあるのがこの世界。あなたの資産を守ることが出来るのは、あなただけです。

この３つは面倒くさがらずに行うこと。今すぐ！

色々なことを覚えるのが面倒くさい、わかります。それではこの３つをやってください。既にやっている人は、更に興味がある場合のみ次の章に進んでください。この３つを行うだけで、９５％以上の盗難を防ぐことが可能です。

１，ハードウェアウォレットを買って使う。今すぐ！
２，大金を入れるウォレットと普段使いのウォレットを分ける
３，シードフレーズは紙や物理シートで管理。パソコンやクラウドに入れない

１，ハードウェアウォレットを買って使う。今すぐ！

もっとも重要なのはハードウェアウォレットです。ハードウェアウォレットの安全性は各所で言及されていますが、驚くことに導入していない方が多いです。昨今のハッキング事例を見ていると、そのほぼ全てはMetaMaskウォレットからの流出であり、ハードウェアウォレットを利用していた方の流出は、一部のシードフレーズ使いまわし事例などを除いて皆無です。

もちろん、ハードウェアウォレットがあっても適切に利用しないと防ぐことはできませんし、ハードウェアウォレットユーザーに対するハッキング攻撃もありますが（Dapps からのApproveなど）Twitterで流れている事例は、ハードウェアウォレットを導入していれば防げたのに！と思うものばかりです。

ハードウェアウォレットを導入することは秘密鍵を安全に管理することのほかに、シードフレーズの管理も適切になります。Ledgerなどはインストール時に安全な管理手法を懇切丁寧に教えてくれます。（シードフレーズを書き留める紙も提供してくれます！）安全な仮想通貨ライフを送るためには必須といっても過言ではありません。

ハードウェアウォレットはたくさんありますが、有名なLedgerやTrezorを導入すれば間違いないでしょう。ここで大事なのは公式サイトを利用して買うことです。通販サイトなどを利用すると、そのウォレットにウイルスが仕込まれている可能性もあります。

Ledgerの公式サイトはこちらです。

Ledger - Home of the first and only certified Hardware wallets

２，大金を入れるウォレットと普段使いのウォレットを分ける

ウォレットは分散して管理をすることが基本です。特に、大金を入れるウォレットと普段使いのウォレットは分けることが推奨されます。

これは、財布と金庫の関係に例えるとわかりやすいです。MetaMaskにお金を入れることは、お財布に入れてお金を持ち歩くことと同じです。普段３０万円以上のお金をお財布に入れて持ち歩く人は少ないと思います。それと同じです。多額のお金はハードウェアウォレットという金庫に入れて、Metamaskウォレットはたとえ盗られてもなんとかなる金額にします。

数十万円以上のお金は大事に金庫に入れてください

また、NFTユーザーが勘違いしていることが多いのですが、AzukiやCloneXといった高額NFTをPFPにしている人が多いですが、PFPにするためのサービスに接続するときはハードウェアウォレットは使えないと思っている人が多いですが、そんなことはありません。

Ledger 自体に対応しているDappsは多いですし、仮にMetaMaskしか対応していないDapps であっても、MetaMask と ハードウェアウォレットを接続することで、MetaMask経由でハードウェアウォレットを操作することが可能です。この時も署名自体はハードウェアウォレットで行うので安全です。

MetaMaskにはハードウェアウォレットを接続する機能があります。

もちろん、MetaMask以外にも後の項で説明するrabby wallet などもハードウェアウォレット対応なので、ほぼあらゆるサービスを使うことが可能です。

３，シードフレーズは紙や物理シートで管理。パソコンやクラウドに入れない

昨今のハッキング事例を見ていると、シードフレーズがクラウドから流出したことが疑われるものが何個かありました。1password や、BitWarden などのパスワードマネージャであればサービス側のセキュリティも強固だと思われますが、中にはクラウドのメモアプリなどに入れて管理する例も見受けられます。メモアプリに入れたシードフレーズが過去に流出した例などもありましたので、クラウドにシードフレーズを入れるのは危険です。

ハードウェアウォレットを買ったときにシードフレーズを書く紙が同梱されているので、そこにシードフレーズを書いて物理的に保存しましょう。
また、シードフレーズを物理的に刻印し、耐火性などを上げるグッズもあります。こちらはお好みにはなりますが、こだわる人は購入もありです。

Cryptosteel Capsule Solo

また、インターネットにつないでいないパソコンを用意できるのであれば、そのパソコンでシードフレーズを生成し、それをUSBメモリに入れて保存するのもありです。USBメモリに暗号化をかけることで、パスワードを知らないものは、たとえシードフレーズデバイスを入手しても復元不可になります。このやり方は私も気に入っています。

シードフレーズの管理に1PasswordやBitWardenなどのパスワードマネージャを使ってよいかというのは議論が残るところです。私も、ハードウェアウォレットではない普通のウォレットのシードフレーズはパスワードマネージャで管理しています。

ですが、流出事件が起きた時にパスワードマネージャで管理していると、そこからの流出をまず疑るので、出来るのであれば多額の資金を入れるウォレットは物理デバイスに保存するのがよさそうです。

さらに検討するセキュリティ項目

前の章の３つを万全にするだけで、ハッキングでTwitter等で流れてくる致命的な事例の大半を防御することが可能です。
次からは、更にセキュリティについて検討したい人向けの事項です。

1, DeFi を使うときはAudit のチェック
2, MetaMask ではなく、より安全性の高いウォレットを使う
3, MacやiPadの利用、および別PCの利用
4, Discord, Twitter などの二段階認証をセット
5, NFTをミントするときの自前コントラクトチェック
6, Windowsはウイルスに弱い。最低限のセキュリティ対策を

1, DeFiを使うときはAuditのチェック

昨今は資産をただ寝かしておくだけではなく、DeFiを使って運用することが一般的です。ですがDeFiに関してはコントラクトがあまりに複雑であり、個人がコントラクトの安全性を調査することは難しいです。

そのため、昨今はAudit と呼ばれる第三者機関によるセキュリティチェックが発達しています。AuditとはセキュリティのプロがDeFiにおける穴がないかをチェックしてくれるものであり、このAuditを通っているものは比較的安全であると考えます。利用するDeFiがAuditしているかどうかは、大体サイト側のDocumentに書いていますので、そこに書いている第三者機関のサイトに行き検索すれば裏付けをとることが可能です。

Web3 Security Leaderboard

もちろん、Auditが通っているから１００％ではありませんが、より安全なところで運用するべきだと思います。

2,MetaMaskではなく、より安全性の高いウォレットを利用

こちらは、有識者の間でも意見が分かれるところですが、最近のウォレットは接続したサイトがスキャムの可能性が高いかを教えてくれるため、私はお勧めしています。

例えば、こちらのrabby wallet は、wallet connet するサイトがDebank等に登録されているURLかどうかをチェックし、違う場合は警告を出してくれますので、私もよく使っています。

🫡Phishing scams can appear anywhere, even in seemingly trustworthy places like Google search ads or Twitter Blue verified accounts.

Protect yourself from phishing sites like a pro using Rabby wallet's most recent security feature👇 https://t.co/SC4M7McOl1 pic.twitter.com/X3hdvK7Lbh

— Rabby Wallet (@Rabby_io) April 28, 2023

送金時に送金先の履歴などもチェックし、GOXの可能性があるときは教えてくれるなど、親切な機能が多いです。Google検索の時に広告を利用して上位サイトにスキャムサイトを紛れさせてフィッシングするなど、よくある手口ですので、怪しいサイトに対する警告機能を利用することでより防御力を高めることが可能です。

ほかにも、よりセキュリティを気にする方には、シードフレーズを利用した管理ではなくコントラクトを利用したwallet であるAccount Abstraction ウォレット (Argent など)を利用したりしています。

補足：ウォレットのサプライチェーン攻撃について
新しいウォレットを利用するときに、wallet 自体に対するバグで秘密鍵が漏れる可能性を心配するのは当然です。こればかりは、wallet 自体を信用するしかありません。過去、slope wallet でシードフレーズがwallet アプリから流出して大事件になりました。

After an investigation by developers, ecosystem teams, and security auditors, it appears affected addresses were at one point created, imported, or used in Slope mobile wallet applications. 1/2

— Solana Status (@SolanaStatus) August 3, 2022

また、今回紹介したrabby wallet も、過去swap 機能においてセキュリティバグがあり、流出事故がありました。

wallet 自体のバグによる秘密鍵の流出を１００％防ぐのは難しいです。MetaMask自体が完全に安全だというわけでもありません。そのため、大事なのは前にあげたハードウェアウォレットに大事な資産を入れることです。ハードウェアウォレットを使うことで、ウォレットアプリに秘密鍵が渡ることはないため、仮に秘密鍵流出事故があっても被害を防ぐことが可能です。

新しいwallet より実績のあるMetaMaskのほうが安全なのではないかという意見があるのも承知していますが、それでも私はヒューマンエラーを防止する機能が高いウォレットのほうが安全であると考えます。

より大事なのは多額な資産をハードウェアウォレットで管理し、秘密鍵をネットワーク上に晒さないことです。

3,MacやiPadの利用、および別PCの利用

ハッカーがあなたの資産を盗むとき、ウイルスを含まれた圧縮ファイルを送り、ウイルス感染させる方法がよくあります。

クリプト界隈、特に案件依頼系DM少し気をつけた方がいいかもです。

GameFiの体験版をデモプレイしてほしいでexeファイルを送りつけてメタマスクの資産全部奪われた的な被害がありました。

僕もフォロワーもsrcを送られてきましたし。防御力高めましょう🙇‍♂️ https://t.co/HoIzlC1y7v pic.twitter.com/H3juRB8Afd

— 🎀ぽるんちゃん🎀 (@porucoin) June 12, 2022

ウイルス経由の感染を防止するために、仮想通貨を操作するPCと、普段使うPCを分けるのが効果的です。特に大きな資産を管理している方は、PC複数台もちで運用していることがよくあります。

また、ウイルスは主にWindows PC を対象にしていることが多いです。そのため、MacやiPhone,iPad などを使うことにより、このようなウイルス被害に対するセキュリティを高めることが可能です。

4, Discord, Twitter などの二段階認証をセット

パスワードの使いまわしによるハッキングは本当によくあります。現在の情勢だと、パスワードだけでハッキングから防御するのは不可能といっても過言ではありません。NFTユーザーがよく使うTwitter, Discord への二段階認証のセットは真っ先に行いましょう。

また、それ以外のサービスに関しても、パスワードマネージャの利用をお勧めします。先ほど、パスワードマネージャはハッキングの可能性が捨てきれないという話をしましたが、無数にあるWebサービスのパスワードを使いまわすよりは、パスワードマネージャを使ったほうが１００倍マシです。

私は、 Bitwarden というパスワードマネージャサービスを使っています。ですが、最近は Google や Microsoft, Apple の標準パスワードマネージャも使い勝手が非常に良いので、これらを使って管理するのでも充分だと思います。

5, NFTをミントするときの自前コントラクトチェック

最近、 $PEPE 関連の草コインやNFTのフリーミントが流行っています。ですが、NFTのフリーミントなどで、大事なNFTのapproval 権限を奪取し、NFTなどを盗むのはよくある手口です。大原則として、できたばかりのサービスにはアクセスせず、大手サービスのみを利用するのが一番安全ですが、とはいえ収益機会を手に入れるために着手したい方もいるでしょう。

こういったフリーミント系のコインに着手するためには、今まで以上に、使い捨てウォレットを利用するのが大事となってきます。

過去にフリーミントNFTを触る方に向けたマニュアルを書いています。こちらも参考にしてください。

6, Windowsはウイルスに弱い。最低限のセキュリティ対策を

先ほど、MacやiPadなどでの利用をお勧めしましたが、Windows を利用する必要がある方も多いでしょう。Windows PC で仮想通貨を触る場合、事前にWindows PC のセキュリティの確認をしておきましょう。ウイルス対策ソフトなどの導入を検討してもよいですが、最新のWindows 11 では十分なセキュリティ機能があります。

この中には、標準の機能でオフになっているものもあります。仮想通貨をさわる時には、なるべくオンにしていきましょう。とりわけ、去年のWindowsより追加された新機能「Smart App Control」は、仮想通貨の盗難によく使われる偽装されたexe ファイルの実行への防御を提供してくれます。

「スマートアプリコントロールの設定」でWindows 11の守りがさらに強固に - 週刊アスキー

このスマートアプリコントロールは、前から使っているPCだと標準でオフになっており、オンにするためにはクリーンインストールが必要です。ですが、非常に効果的な機能となっているため、仮想通貨で大きな金額を扱うＰＣは必ずオンにしておきましょう。

そのほか、Windows Update の定期的な実行やWindows Defender も重要です。必ずオンにしておきましょう。また、あなたがGameFiのインフルエンサーであり、海外のゲームをよくプレイする場合はサンドボックスモードを利用することを覚えましょう。

最後に

セキュリティを守るために必要なことは一つではありません。Web3というのはすべての権限を自分のもとに持つというものであり、そのためにはセキュリティは欠かせません。ハッカーが仮想通貨を盗む方法は、調べると本当にたくさんあるのですが、よくTwitter上で上がっている被害手口を見ていると、シンプルなウイルスやフィッシング詐欺がほとんどです。盗られてからでは遅いので必ず対策しましょう。

最後に、この記事を見てハードウェアウォレットを買いたくなった人は、
ここからLedgerを買っていただけると、私にアフィリエイトが入るので今後も記事を書くモチベーションになります（笑

Ledger - Home of the first and only certified Hardware wallets