セキュリティ 101 02-09-2022

暗号通貨ウォレットをハッキングから守るには:暗号通貨を保護するための 10 のヒント

Dr. Avesta Hojjati

多くの人が暗号通貨への投資をためらう理由の 1 つはセキュリティリスクです。特に現在、暗号通貨への投資を保護する責任は投資家にあるため、そのリスクは大きいのです。FDIC (連邦預金保険公社)によって保証される銀行口座とは異なり、現在、暗号通貨はほとんどの政府によって規制されておらず、法的な資産返還の手段がない可能性があります。

要は、暗号通貨を紛失したり盗まれたりした場合、それを取り戻すのは極めて困難であり、それを保護する責任はあなたにあるということです。

オンライン取引にリスクがあるのは事実ですが、オンラインで安全を確保する習慣の多くが、暗号通貨の安全にもつながります。暗号通貨ウォレットを保護するには、オンラインバンキング情報を安全に保つ方法と同様の手法に従う必要があります。とはいえ、暗号通貨への投資を守るためにできることはいくつかあります。

暗号通貨ウォレットを持つということは、守らなければならない秘密鍵を手に入れるということです。デジサートは公開鍵基盤(PKI)の専門家として、秘密鍵の保護について熟知しています。そのため、皆さんが暗号通貨ウォレットの安全性を確保するのに役立つガイドを作成することにしました。

暗号通貨ウォレットのハッキングは、どれくらいの頻度で発生しているのですか?

暗号通貨の普及が進む一方で、脅威もまた進化し、拡大しています。暗号通貨に投資する人が増えるほど、攻撃者にとってのうまみも増していきます。2012 年以降、暗号通貨取引所から盗まれた金額は 30 億ドル近くにのぼり、パンデミック以降でも約 10 数件の攻撃 がありました。2020 年 4 月以降の損失額は 5 億円を超えると推定されています。

ハッカーは、パスワードを盗んだり推測したり、取引所のプラットフォームをハッキングしたり、フィッシングで情報を抜き取ったりと、ありとあらゆる方法で暗号通貨を盗むことができます。中でも、最も一般的な攻撃は暗号通貨ウォレットの秘密鍵を盗むことです。あらゆる攻撃の可能性に対して 100% の安全を確保することは不可能だとしても、暗号通貨を守り、リスクレベルを下げるためにできることはたくさんあります。

暗号通貨を安全に保管するには

では、あなたの暗号通貨ウォレットは安全でしょうか?これから述べる暗号通貨をハッカーから守るための 10 のヒントが実践できているか確認してください。10 個すべては必要ないという方もいるでしょうが、自分がどの程度のリスクを許容できるかを検討することで、どの程度のセキュリティを実装するかを決められるようになります。また、暗号通貨ウォレットを管理するためにモバイルアプリがよく使われるようになってきているため、以下のヒントはコンピュータだけでなく、特にスマートフォンにも適用されます。

  1. 暗号通貨をコールドウォレットに保管する
  2. 暗号通貨ウォレットの安全を確保する第一のステップは、「コールド」ウォレットまたはハードウェアウォレットに保管することです。取引用に一部をオンラインにしておく必要があるかもしれませんが、当面必要な分だけを残し、大部分はオフラインで保管しましょう。コールドな暗号通貨ウォレットは、USB メモリと同じくらいの大きさで、資金にアクセスするための秘密鍵を入れておけます。秘密鍵は自分で設定できますが、紛失した場合、資産にアクセスできなくなります。最近あった事例では、2 人の投資家がハードウォレットの秘密鍵を忘れ、ウォレットの資産価値が数百万ドルにも上がったにもかかわらず、自分のウォレットにアクセスできなくなったことがありました。投資家はハードウェアハッカーを雇い、自分の暗号通貨ウォレットに物理的アクセスで侵入し、200 万ドルの暗号通貨を引き出すことに成功しました。そうは言っても、プライベートハッカーを雇いたくない場合は、そもそも秘密鍵をしっかり保管しておけばいいのです。秘密鍵は決して他人と共有してはなりません。最高レベルのセキュリティを確保するため、耐火金庫や貸金庫などの物理的な場所に保管してください。

    暗号通貨の大半をオンラインプロバイダー業者に保管することの危険性の 1 つは、多くの場合、業者があなたの秘密鍵にアクセス可能だからです。もし業者がハッキングされてあなたの秘密鍵が漏洩した場合、投資金を失ってしまうかもしれません。さらにリスクを分散させるために、複数の暗号通貨ウォレットを持ち、1 つの秘密鍵が盗まれたとしても他の鍵は安全であるようにすることもできます。しかし、その場合、複数の秘密鍵を保管することによる複雑さも生じます。

    コールドウォレットやオンラインウォレットの他に、ソフトウェア暗号通貨ウォレットという選択肢もあります。しかし、パソコンやスマートフォン内のアプリケーションウォレットを危殆化するように特別に設計された悪意のあるアプリケーションも存在します。

  3. 売買には信頼できる取引所を利用する
  4. 取引を行う前に、取引所によってその安全性には違いがあるということを理解しておきましょう。十分に下調べをして、過去に侵入を受けたことのある取引所を把握します。ハッキングされたということは、その取引所のセキュリティ手法に問題があるか、既存の脆弱性が存在するということであり、あなたの投資がリスクに晒されることを意味します。

    最近の取引所のハッキングについては、以下のリストをご覧ください。

          a.   https://www.hedgewithcrypto.com/cryptocurrency-exchange-hacks/

          b.   https://coinmarketcap.com/alexandria/article/largest-crypto-heists-in-history-have-exchanges-learned-anything-from-their-mistakes

          c.   https://cryptosec.info/exchange-hacks/

    ほとんどの暗号通貨取引所はサイバー攻撃に遭っても暗号投資が法的に保証されないため、侵害された場合、保有資産を失う可能性があります。多要素認証(MFA)を必須にしている、TLS/SSL 暗号化を適用しているなど、セキュリティのベストプラクティスを採用している取引所を選択することが重要なのはそのためです。最後に、資金移動の限度額や通知、被害を軽減するための口座凍結オプションなど、安全対策が設けられているかどうかを判断してください。

  5. パスワードは定期的に変更し、パスワードマネージャーを使用する
  6. 残念ながら、現代の環境では、パスワードはいずれすべて流出すると考えてよいでしょう。ですから、パスワードを保護する鍵は複雑なものを設定し、安全に保管し、頻繁に変更することです。暗号通貨ウォレットやその他の機密性の高いサイトのパスワードを決めるときは、既存のパスワードを再利用しないようにしましょう。また、パスワードには個人情報を含めないようにします。ブラウザにパスワードを保存するよりも、LastPass や 1Password などのパスワードマネージャーに保存する方がより安全です。最後に、パスワードは約 6 カ月ごとに変更しましょう。

  7. 多要素認証 (MFA)を利用する
  8. 多要素認証 (MFA)は、パスワード、セキュリティトークン、生体認証に基づく独立した認証情報により、アカウントに何重もの防御を構築します。MFA の考え方は「知っており、持っている」ことです。言い換えれば、パスワードを知っていて、トークンやプッシュ通知、生体認証などを持っていることです。

    通常、MFA を設定する際、SMS か二要素認証(2FA)アプリケーションのプッシュ通知のどちらかを選択することができます。SIM カードが攻撃者の手に渡った場合でも通知を受け取れることから、一般的に 2FA の方が良いとされます。攻撃者がアカウントへのアクセス権を取得する手段として、SIM スワップは驚くほどよく使われています。携帯電話を盗まれた場合は、すぐにカスタマーサポートに連絡し、古い SIM カードを解約してください。さらに、携帯電話のデータ通信や SMS/通話が突然できなくなった場合、SIM スワップの被害に遭っている可能性があります。SIM スワップを防止するため、サービスプロバイダーに SIM カードのロックを依頼してください。

  9. フィッシングに気を付ける
  10. フィッシングは、攻撃者が正規の組織を装って機密情報を引き出す標的型攻撃ですが、意外と騙される人が多いのです。フィッシングを避けるため、正規のサイトであることが確認できない限り、暗号通貨取引所にログインすることは絶対に避けてください。他人から無差別に送られてきたリンクをクリックするのではなく、お気に入りに保存したり、URL を入力したりしてアクセスします。さらに、個人情報を聞いてくる SMS メッセージ、電子メール、チャットなども信用しないようにしましょう。最後に、支払いを行う前に、必ず詳細が正しいかどうかをダブルチェックしてください。フィッシング詐欺を防ぐための 10 のヒントのブログ記事をご覧ください。

  11. 暗号通貨とプライベート/仕事を分離する
  12. 暗号通貨の取引は、プライベート用や仕事用のデバイスやアカウントから分離してください。アクセスできなくなる可能性のある個人、学校、職場のメールを使用するのではなく、暗号通貨ウォレット専用のメールを作成する必要があります。暗号通貨ウォレットには決して職場や公共のコンピュータでアクセスしてはなりません。専用のノートパソコンやスマートフォンなど、暗号通貨取引用に別のデバイスを使用することを検討してください。

  13. 公衆 WiFi を使わない
  14. オンライン暗号通貨取引所や口座にアクセスするのに公衆無線 LAN を使用しないでください。さらに、可能な限り VPN を使用して、IP アドレスと所在地を隠します。VPN は、データのプライバシーを維持するためにあらゆるデバイスで使用でき、あなたの活動が盗聴、トラッキングされるのを防ぐことができます。VPN は基本的に、暗号化されたトンネルを作成して、あなたのオンラインでの活動をプライベートかつ安全に保ち、データを制御できるようにします。これは、暗号通貨取引に限らず、一般的なオンラインセキュリティ手法として普段から実践するべき習慣です。

  15. アップデートを自動でインストールする
  16. 使用するデバイスの種類を問わず、最新のソフトウェアにアップデートしておきます。アップデートが自動でインストールされるように設定することができます。お使いのデバイスとそこにインスト-ルされているアプリケーションが最新の状態であることを確認してください。同様に、アンチマルウェアやアンチウィルスソフトなどのエンドポイントセキュリティを活用することも重要です。

  17. ウォレットの情報を公開しない
  18. 暗号通貨投資に成功するとソーシャルメディアに投稿したくなるかもしれませんが、ネット上で自分の儲けを自慢することは、攻撃者を招き寄せるようなものです。自分の身元に関わる情報を排除するため、多くの人が匿名で暗号通貨の取引を行っています。取引の内容、利用している取引所、儲けや損失などの情報をソーシャルメディアに投稿してはいけません。

  19. 普段から脅威に関する最新情報を収集する
  20. 攻撃は絶えず進化していますが、自衛のための手法も絶えず進化しています。暗号通貨ウォレットに脆弱性が発生した場合にすぐに対応できるよう、新しい攻撃や脅威に関する最新情報を常に収集しておくことをお勧めします。DigiCert ブログでは、 サイバーセキュリティに関する最新ニュースのまとめを毎月配信しています。

自分にとって簡単であればあるほど、攻撃者にとっても簡単である

暗号通貨を保護するためにすべきことはたくさんあると感じるかもしれませんが、ハッカーからあなたの投資を守ることにはそれだけの価値があります。暗号通貨ウォレットにログインしてアクセスするのがあなたにとって簡単であればあるほど、攻撃者にとっても簡単なのです。また、どのようなオンライン取引にも脆弱性が存在する可能性があります。ですから、このようなベストプラクティスを適用することは、暗号通貨ウォレットだけでなく、日常的なオンライン取引の保護にも役立ちます。さらに、暗号通貨を紛失したり盗まれたりした場合、それを取り戻せる可能性は実質ゼロに等しいため、前もって予防的なセキュリティを強化しておく価値があります。

暗号通貨ウォレットがハッキングされたら

暗号通貨ウォレットがすでにハッキングされてしまった場合、過去は変えられません。暗号通貨は政府によって規制されていないため、法的な救済は一切受けることができないかもしれません。しかし、将来の攻撃を防ぐために、今から上記のヒントを実行することができます。

その他の読みもの

今回述べたヒントは、暗号通貨ウォレットとデジタルセキュリティ全般に適用されます。Web セキュリティの基本的な注意点については、年齢を問わず役立つサイバーセキュリティのヒント、またはウェブサイトが安全かどうかを確認する方法をお読みください。個人向けのより詳細なセキュリティ対策については、こちらの全一覧をご覧ください。

UP NEXT

特集記事

デジタルトラストは IT の重要課題

04-13-2022

DigiCert CertCentral® の機能強化でさらに詳細な検出、ドメイン一括認証、その他が可能に

進化する脅威からデジタルプラネットを保護する