ビットコインの自己管理においてすべきこと、してはいけないこと
 |
ハウツー、ビットコインを安全に管理するには |  |
初級 |  |
16分 |
|---|
本記事は Casa の共同創業者&最高技術責任者 Jameson Lopp 氏著「The dos and don'ts of Bitcoin key management」(2020年6月6日公開)を @akipponn さんが翻訳、@TerukoNeriki が一部加筆修正したものです。
ビットコインはユーザーに自分の資産に対して非常に高いレベルの主権を提供します。「自分の資産は自分で守れ」(be your own bank)という言い回しを聞いたことがある人もいるかもしれません。これはビットコインが所有者に与える力をうまく表現しています。一方で資産を自ら守るには多大な責任を伴います。ビットコインの価値の源泉とも言える特徴(誰でも自由に参加できるオープンな決済ネットワーク、送金の検閲や資産の押収が困難なことなど)は、悪意のある攻撃者にとっても魅力的なものです。攻撃者はビットコイン所有者を騙して資産を奪うべくさまざまな罠を考案し、ビットコインの安全管理を困難にしています。インターネットは危険な場所です。でもご心配なく。自分の身と資産を守るためのツールはあります!
主導権を握ろう
秘密鍵を自分で管理していなければ、その鍵が本当に安全に保管されているか知る由もありません。たとえ鍵の預け先が暗号通貨取引所など信頼できる第三者だとしても、実際に鍵がどのように管理されているかを監査することはできません。
あなたがビットコインを使いこなすスキルを習得する気がないなら、他の誰かがあなたのビットコインを使いこなすことになるでしょう。— Jameson Lopp (@lopp) 2020年5月17日
信頼できる第三者に秘密鍵の管理を任せると、秘密鍵管理に付随するリスクから開放されたように感じるかもしれません。でもそれは錯覚です。鍵管理を他者に委託しても、鍵管理に伴う不可避なリスクから逃れることはできません。その上、リスク回避手段を自ら講じることができなくなってしまいます。さらに、以下のような新たな攻撃可能性が生じ、結果的にリスクは増大します。
- ビットコイン管理代行業者が会社ぐるみで顧客資産を横領
- ビットコイン管理代行業者の一部従業員が顧客資産を横領
- 大量のビットコインを管理する代行業者をハッカーが攻撃して顧客資産を横領
本記事は長い上に難解かもしれません。でも「知識は力なり」です。
自分の身は自分で守ろう
所有するすべてのオンラインアカウントについて、サイバー攻撃への強固なセキュリティ対策を講じてください。ユーザーIDとパスワードは遅かれ早かれ漏洩するものだと思ってください。パスワードマネージャ(できれば Yubikey のようなハードウェアタイプの2段階認証を採用するもの)を使って、サービスごとに異なるパスワードを設定してください。2段階認証に対応しているサービスでは、必ず有効にしてください(ハードウェアタイプの2段階認証を推奨)。TOTP(Time-based One-time Password、時間に基づいて生成されるワンタイムパスワード)にしか対応していないサービスの場合、Yubico Authenticator を使えばハードウェア(Yubikey)で保護できます。
サイバーセキュリティや運用セキュリティに馴染みのない方は「Jolly Roger’s Security Thread for Beginners」(Jolly Rogerの初心者のためのセキュリティスレッド)をぜひ読んでみてください。
秘密鍵の管理については、利便性とセキュリティはトレードオフの関係にあること覚えておいてください。スマートフォンのシングルシグ(送金に1つの秘密鍵による署名しか要しない)ウォレットアプリは日常使いの少額のビットコインを保管するには便利ですが、老後の蓄えの保管に使ってはいけません。一方、マルチシグ(送金に複数の秘密鍵による署名が必要)ウォレットの秘密鍵を地理的に分散保管する場合、送金手順が煩雑になるため日常使いには不便ですが、送金頻度が月1回または年1回と少なければ問題ないでしょう。
秘密鍵の保管には専用のハードウェアを使い、送金先アドレスは必ずハードウェアの画面で確認しましょう。PCやスマホのアプリ、ブラウザに表示されるアドレスは改ざんされる可能性があるため、信用してはいけません。
送金先アドレスは最初の数文字だけでなく、全ての文字列をチェックしてください。送金先アドレスに類似するアドレスを生成して、本来の送金先とすり替えてビットコインを騙し取ろうとするマルウェアが数多く報告されています。
災害にもしっかり備えてください。ウォレットを復元するために必要なシードフレーズのバックアップ方法を考える必要があるかもしれません。シードフレーズの保管についてはさまざまなガイドが公開されているので参考にしてください。弊社Casaでは、顧客はシードフレーズを管理すべきでないとの考えに基づいてサービスを提供しています。その理由は以下の記事で説明しています。
金属製デバイスにシードフレーズのバックアップを保存する場合、ストレステストを通過した極限状態に耐えられることが証明されたものを購入してください。
新たにソフトウェアをインストールする場合、それが悪意ある偽物ではないか検証してください。残念ながら、検証方法はプラットフォームによってまちまちです。パソコンにインストールするソフトウェアについては、コマンドラインが使える人なら GPG 署名を検証できます。モバイルアプリは暗号学的署名がされていますが、この署名の正当性は App Store や Google Play などアプリストアでしか検証できません。偽物をインストールしないために、アプリ開発会社の公式ウェブサイトからダウンロードしてください。
フィッシング詐欺の被害にあわないために
インターネットに接続しているコンピュータやスマートフォン、特にウェブブラウザには決してシードフレーズを入力しないこと!専用ハードウェアで秘密鍵を保管する人が増えた今、ハッカーが狙っているのはハードウェアウォレット所有者です。
あまり知られていない攻撃手法にタイポスクワッティングがあります。ハッカーはビットコイン所有者がビットコイン関連サービスサイトにアクセスする際にURLのタイプミスでアクセスしそうなドメインを購入し、獲物を待ちます。こうした悪意ある偽サイトに誤ってアクセスするのを防ぐため、金融関連サービスのウェブサイトはあらかじめブックマークしておき、常にブックマークからアクセスしましょう。
タイポスクワッティングについて調査中、興味深いサイトを発見しました。オランダの取引所 Bitonic がタイポスクワッティングについて注意喚起するために開設した http://bitadress.org/ です。
タイポスクワッティングと似た攻撃に、検索エンジンに広告料を支払って悪意ある偽サイトを正規サイトより上位に表示させる手法があります。正規サイトよりも先に表示される偽サイトに誘導してビットコインを盗もうとするものです。これは前述のウェブサイトへのアクセスをブックマーク経由に限定する方法で回避できます
マルウェアをインストールしない
ブラウザの拡張機能を安易にインストールしないでください。悪意のあるものもあり、ウェブサイトの閲覧履歴を収集されてしまうかもしれません。
ブラウザ拡張機能タイプのウォレットはあからさまな詐欺の可能性があるので使わないでください。
ソフトウェアが多数インストールされたパソコンにウォレットアプリをインストールするのは避けましょう。ウォレット以外のソフトウェアにクリップボードのデータを改ざんするマルウェアやパソコンに保存された秘密鍵を探すトロイの木馬を仕込まれる危険性が高まります。
ハードドライブを乗っ取るランサムウェアに気をつけてください。ソフトウェアは海賊版を避けて正規版だけをインストールしましょう。万が一、乗っ取られてもデータを復元できるよう定期的にハードドライブのバックアップをとってください。
QR コードを生成するサイト、特に「ビットコイン QR コードジェネレータ」は利用しないでください。あなたのアドレスが攻撃者のアドレスに改ざんされる可能性があります。
ビットコインアドレスを QR コードに変換するというこのサイト、何を入力してもサイト運営者のアドレスを出力する。 詐欺サイト以外の何者でもない。
可能なら、ソフトウェアはインストール前に正規版かどうか検証、つまり、ダウンロードしたバイナリのファイルハッシュと GPG 署名を確認しましょう。秘密鍵を管理するソフトウェアについては、例えば、サードパーティが管理するAWSイメージを実行するなど動作検証が不可能な場合、インストールを見合わせてください。
技術的脆弱性を作らない
秘密鍵のバックアップをデジタルデータとして保存すること、特にクラウドなどオンラインサービスを利用することは避けるべきです。安全にデジタルバックアップを作ることは可能ですが、技術やセキュリティについての専門知識を要します。
ブラウザベースのウォレットは、ハードウェアウォレットの単なるインターフェースであっても利用は避けるべきです。ブラウザにはさまざまな脆弱性があります。
Tor ブラウザを使ってビットコインの送金先アドレスを表示するウェブサイトにアクセスしている人は、悪意ある Tor リレーノードが送金先アドレスを改ざんする可能性があることを認識しておくべきです。
ブレインウォレット(秘密鍵やシードフレーズを暗記すること)は避けてください。人間はエントロピー生成が苦手です。よく使う英単語を並べたシードフレーズで復元できるブレインウォレットに送金したビットコインは、数秒後には盗まれてしまうでしょう。
シャミアの秘密分散法には以下ブログ記事で詳しく説明した通り、欠点が多いため使わないでください。
シードフレーズを分割して分散保管するのは避けてください。総当たり攻撃への耐性が大幅に低下します。
シードフレーズのバックアップに創造性は不要です。独自に考案したバックアップ方法は総じて安全性が低く、ウォレットを復元できなくなるリスクがあります。具体的なリスクについては以下記事をご参照ください。
同様に、シードフレーズのバックアップのランダム化も無意味です。シードフレーズにはチェックサムが含まれるため、シードフレーズの長さによっては総当たり攻撃で割り出すのは簡単です。12の英単語からなるシードフレーズの組み合わせはたったの5億通りしかなく、その中で有効な組み合わせはおそらく5万通りほどです。有能なハッカーなら、わずか数分で5万通りの組み合わせを試してビットコインを盗めます。
ペーパーウォレットは使わないでください。ペーパーウォレットを安全に使うのは難しく、付随するリスクを十分に理解していないとビットコインを誤って失うことになるでしょう。
弊社 Casa の新規顧客の共通点に、ハードウェアウォレットやペーパーウォレットなど複数のシングルシグウォレットにビットコインを分散保管していることがあります。これはビットコインを全て失うという致命的リスクを下げるものの、一部を失うリスクを高めます。単一障害点を持つ複数のウォレットに秘密鍵を分散保管しても安全性は向上しません。
詐欺に引っかからない
スケアウェアや脅迫メールのメッセージを信じないでください。実際に使用しているユーザー名やパスワードが含まれていたりすると慌ててしまうと思いますが、それらはオンラインサービス事業者のデータベースから漏洩してダークウェブで売買されているものです。本記事執筆時点において、この種の詐欺の最新バージョンは「セクストーション(性的脅迫)詐欺」と呼ばれるもので、あなたのコンピュータをマルウェアに感染させ、恥ずかしい性的画像を撮影したと脅してきます。
「Xビットコインを送金すれば2Xビットコインがもらえる」と喧伝する詐欺は未だに健在です。あなたのビットコインを数分だけ預かって、そのお礼にビットコインを倍返しする人などいません。貨幣の時間的価値はそんなに高くないです。
エアドロップされるアルトコインを集めようとしてはいけません。詐欺の可能性があります。ホットウォレットやオンラインサービスのログイン情報を盗むことが目的かもしれません。より高度な詐欺にビットコインを盗むマルウェアが仕込まれたウォレットがあります。エアドロップされるフォークコインをウォレットで安全に受け取る方法は、エアドロップ前にウォレットで管理するビットコインを全て別の新しいウォレットに送金することです。
ビットコインをミキシングサイトに送らないでください。大半は詐欺サイトです。ミキシングを安全に行うには、自分でミキシングソフトウェアを実行し、秘密鍵の管理権限を放棄しないことです。これが可能なミキシングソフトウェアとして JoinMarket、Wasabi、Whirlpool などがあります。
ビットコインの取引や送金を最近始めたばかりです。よく調べずにビットコインをミキシングサイトに送金ししたところ、151承認後の今も送金したビットコインがサイトに反映されません。
十分な調査を行わないでICOに投資するのはやめましょう。ブルームバーグの調査レポートによると、ICOの8割が詐欺です。
同様に、欲にかられて「パンプ&ダンプ(価格操作)」グループに参加しないでください。このようなグループでは、利益を得るのは少数のインサイダーだけで、あなたは資金を失うことになります。
ハードウェアウォレットを転売業者から買わないでください。また第三者から提供されたシードフレーズでハードウォレットを初期化しないでください。
ハッキング被害に合わない
Teamviewer のようなリモートアクセスソフトウェアを決してインストールしないでください。
攻撃の標的にならない
所有するビットコインについて話をすると攻撃の標的にされる可能性があります。以下で Cody は Coinbase アカウントをハッキングされた友人についてツイートしていますが、同時に Cody 自身も Coinbase に資金を預けていることを暴露しています。
このツイートから数日後、Cody は SIM スワップ攻撃を受け、友人同様、Coinbase 口座から資金を盗まれてしまいました。
電話番号とオンラインアカウントを決して紐づけないでください。攻撃者はあなたの電話番号に対して SIM スワップ攻撃をしかけ、あなたの電話番号に紐づいたアカウントのパスワードをリセットし、アカウントを乗っ取ります。今や定番手口となり頻発する攻撃です。私は BitGo で働いていた時にこの手口をいち早く察知し、プラットフォームから SMS を使った認証機能を削除しました。それから3年後、 BitGo のエンジニアの一人が Coinbase でこの脆弱性の犠牲になりました。
セキュリティは常に進化しています
攻撃する側と防御する側の戦いは、双方が新しい戦術を編み出し、相手の出方をうかがいながら常に進化しています。
あなたのビットコインに迫る脅威の大きさに圧倒されたかもしれません。でも恐れる必要はありません。弊社 Casa のビットコイン自己管理ソリューションなら、あなたのビットコインに迫る脅威を軽減できます。
訳者注)Casa はマルチシグによるジョイントカストディ・サービスを提供するアメリカの企業です。本記事は Casa のサービス利用を推奨するものではありません。