ログイン/ 登録

暗号ウォレットは安全か？

BTC

0.22%

Weatherly

2024/05/29 13:59

従う

数百万ビットコインの保管

ヨーロッパの暗号通貨所有者であるマイケルは、2年前に窮地に陥った。2013年当時、彼は43.6BTC（当時約4,000ユーロ、5,300ドル相当）をパスワードで保護されたデジタルウォレットに保管していた。

2022年に彼がジョー・グランドに助けを求めたときには、そのビットコインの価値は驚異的な200万ドルにまで急騰していた。

問題は？

マイケルは財布のパスワードを忘れていた。彼はロボフォームというパスワード管理ソフトを使って、20文字の強力なパスワードを生成していた。

しかし、彼はそのパスワードをロボフォーム内に保存するのではなく、間違えてTrueCryptという別のツールで暗号化してしまった。残念ながらその暗号化ファイルは破損してしまい、マイケルは貴重なビットコインにアクセスする手段を失ってしまった。

ハードウェア・ハッカーに助けを求める

苦労しているのはマイケルだけではなかった。パスワードを忘れて暗号通貨にアクセスできなくなった人は多い。

彼は、失われたデジタル資産を復元する専門家として知られる著名なハードウェア・ハッカー、ジョー・グランドに連絡を取った。

しかし、グランドは当初、協力を断った。彼の専門はハードウェアウォレットのクラッキングで、マイケルの場合はソフトウェアウォレットだった。何百万通りもの組み合わせを自動的に試すようなパスワードの強要も、現実的ではないように思えた。

ランダム性の欠陥

それでもマイケルは、2022年6月に再びグランドにアプローチした。今回、グランドは協力者のブルーノとともに、別のアプローチを取ることにした。彼らは2013年に使用されたロボフォームのパスワード生成プロセスに潜在的な脆弱性があるのではないかと考えたのだ。

当時、ロボフォームは本当にランダムではない、欠陥のある疑似乱数ジェネレータを使用していた可能性があります。つまり、ロボフォームが使用する他のパラメータと一緒に生成日時を知ることができれば、パスワードが予測できてしまう可能性があったのです。

マイケルがパスワードを作成した正確な日付を思い出せなかったのだ：マイケルはパスワードを作成した正確な日付を思い出せなかったのだ。

可能性の絞り込み

限られた情報の中で、グランドとブルーノはいくつかの推測を行った。マイケルの最初のビットコイン取引は2013年4月14日だった。

これに基づき、ロボフォームはマイケルが使用したと思われる同じパラメータ（文字の長さ、特殊文字など）で2013年3月1日から4月20日までの期間内にパスワードを生成するよう設定した。

残念ながら、これらの試みはいずれも正しいパスワードを導き出すことはできなかった。

彼らは、時間枠を拡大し、その頃に生成された他のパスワードに関するマイケルの記憶に基づいてパラメータを調整しながら、検索を改良し続けた。

マイケルは正確な詳細がわからず、グランドとブルーノは正しいパスワードを特定するためにさらなる情報を必要としていた。

幸運と取り戻した幸運

そして2022年11月、数カ月にわたる捜索の末、ついにグランとブルーノは金脈を突き止めた。彼らは暗号を解いたのだ！

パスワードは2013年5月15日午後4時10分40秒（日本時間）に生成されたもので、特殊文字は含まれていなかった。この幸運により、マイケルは長い間失っていたビットコインへのアクセスを取り戻すことができた。

マイケルが財布を取り戻した頃には、ビットコインの価値は大きく上昇していた。各ビットコインの価値は約38,000ドルだった。

グランドとブルーノが自分たちの努力の対価としてビットコインの一部を受け取った後、マイケルは残りのビットコインを1コインあたり62,000ドルになるまで持ち続けた。

現在、彼は30枚のビットコインを保有しており、その価値は本稿執筆時点で200万ドル強である。

マイケルは、過去にパスワードを失ったことは僥倖だったと振り返る。ビットコインが1コインあたり4万ドルで評価されたときに売却できず、より大きな利益を逃す可能性があったからだ。

しかし、これは暗号ウォレットに内在する安全性の脆弱性を反映している。ホワイトハットのハッカーが巧みにアカウントにアクセスし、復元できるのであれば、同じような、あるいはそれ以上の能力を持つ悪意のあるハッカーが、同じように簡単にこれらの弱点を悪用できることを意味する。

悪意のあるChrome拡張機能がログイン認証情報を盗む

暗号通貨ユーザーが、正規のアプリを装った偽のChrome拡張機能「Aggr"」を使った騙しの被害に遭った。

この悪意のあるソフトウェアはユーザーのクッキーデータを盗み出し、特にBinance取引所のアカウントを危険にさらした。この事件は、適切な調査なしに拡張機能をダウンロードすることの危険性を浮き彫りにしています。

この詐欺が最初に明るみに出たのは2024年2月のことで、Binanceのトレーダーである"doomxbt"が自分の口座から7万ドルの不審な損失を報告した。盗まれた資金は当初、暗号取引所SideShiftに入金された。

私は奇妙な方法で危険にさらされている。バイナンス口座から資金が流出し、突然、注文が完了したことを知らせる音が聞こえた。pic.twitter.com/NEkSQVbBQc
𝔡ᵒ𝔪 (@doomxbt)2024年2月29日

ソーシャルメディアの影響力による欺瞞

調査の結果、犯人はChromeストアで入手可能な偽のAggrアプリであることが判明した。この偽アプリは、一見貴重な取引ツールを提供しているように見えますが、トロイの木馬として機能していました。本物のAggrとは異なり、悪意のあるバージョンには、疑うことを知らないユーザーからすべてのウェブサイトのクッキーを盗むように設計されたコードが含まれていました。

ハッカーはこの盗まれたデータを悪用し、パスワードやユーザーキーを再構築する可能性があり、特にバイナンスのアカウントを不正アクセスや窃盗の標的としていた。

私は奇妙な方法で危険にさらされている。バイナンス口座から資金が流出し、突然、注文が完了したことを知らせる音が聞こえた。pic.twitter.com/NEkSQVbBQc
𝔡ᵒ𝔪 (@doomxbt)2024年2月29日

シリングで罠を広げる

攻撃は偽の拡張機能の作成だけにとどまらなかった。犯人はダウンロードを促進するためにソーシャルメディアキャンペーンを開始した。この手口は「シリング」と呼ばれ、インフルエンサーを雇い、ポジティブなクチコミを広めるというものだ。

私はそれをインストールした後、私の財布が流出し、ハッカーの財布のアドレスの一部も得た。彼はそれを洗浄するために5つの異なる交換を使用していました。情報をメールで送るよ。
ホドロ・バギンズ (@hodlo_baggins)2024年5月28日

これらのインフルエンサーに関連するソーシャル・メディアのアカウントは、偽のAggrを必携のツールであるかのように見せかけ、取引の専門用語でタイムラインを氾濫させた。この戦略により、疑うことを知らないユーザーが悪意のあるソフトウェアをダウンロードし、金融の安全が損なわれた可能性が高い。

常に自分で調査する（DYOR）

この詐欺にインフルエンサーが関与していることから、彼らのデューデリジェンスに疑問が生じる。これらのプロモーターが偽のAggr'の悪質な性質を認識していたのか、それとも単に推奨する前にソフトウェアを検証することの重要性を軽視していたのかは不明だ。

上記のアラー・オーリエガのXの記事にもあるように、

本物の拡張機能は1つしかなく、それは彼らのGitHubにあり、検証済みで安全だ。

この事件は、あらゆるアプリケーション、特にブラウザの拡張機能をダウンロードする前に、自分自身で調査（DYOR）を行うことを、すべてのユーザーに強く思い出させるものです。ソフトウェアの正当性を確認することは、オンライン・アカウントとデジタル資産を保護する上で極めて重要である。

暗号ウォレットセキュリティの内訳

デジタル資産を保護するためには、様々なタイプの暗号ウォレットを理解することが重要です。

暗号ウォレットには、主にハードウェアウォレット、ソフトウェアウォレット、ペーパーウォレットの3種類がある。それぞれのセキュリティレベルは異なる。

コールドウォレットとホットウォレットの比較

コールドウォレット はインターネットに接続されていないため、ホットウォレットよりもはるかに安全です。ハードウェアウォレットはコールドウォレットの最も一般的なタイプです。ハードウェアウォレットはUSBドライブのような安全なデバイスに秘密鍵を保存します。取引が必要なときはハードウェアウォレットをコンピュータに接続できますが、それ以外はオフラインのままなので、ハッキングのリスクを大幅に減らすことができます。
ホットウォレット は常にインターネットに接続されているため、ハッキングの影響を受けやすい。ソフトウェアウォレットは最も一般的なタイプのホットウォレットです。モバイルウォレット、ブラウザ拡張ウォレット、デスクトップウォレットなど様々な形態があります。簡単な取引には便利ですが、常にオンラインであるため、コールドウォレットよりも安全性は劣ります。

ホットウォレットの種類とセキュリティ

モバイルウォレット はアプリとしてダウンロードされ、携帯電話の他のアプリと同様に機能する。便利な反面、マルウェアやハッキングの危険性がある。
ブラウザ拡張ウォレット は、ウェブブラウザと一緒に動作するダウンロード可能な拡張機能である。暗号に素早くアクセスできますが、ブラウザのセキュリティに依存しているため、ハッキングのリスクが高くなります。
デスクトップウォレット はモバイルウォレットと似ていますが、コンピューターに保存されます。一般的に、モバイルウォレットよりも利便性は劣りますが、コンピュータに追加のセキュリティ対策が施されているため、セキュリティが若干向上する可能性があります。

紙の財布物理的保護によるセキュリティ

ペーパーウォレットは厳密には財布ではなく、秘密鍵が印刷された紙切れだ。適切に保管されれば高いセキュリティを提供しますが、これは難しいことです。紙は水や火などの影響を受けやすい。さらに、ペーパーウォレットを紛失すると、暗号を失うことになる。

最も安全な暗号ウォレットの選択

ハードウェアウォレットは、専用デバイスに秘密鍵をオフラインで保存するため、最も安全なタイプの暗号ウォレットと考えられている。

しかし、決して馬鹿にはできない。

もし誰かがあなたのハードウェアウォレットとPINに物理的にアクセスすることができれば、あなたの暗号を盗むことができます。強力なセキュリティ機能を持つ評判の良いハードウェアウォレットを選び、PINとリカバリーフレーズを秘密にすることが重要です。

暗号ウォレットのセキュリティの課題と脅威

暗号ウォレットは強力なセキュリティ機能を提供するが、無敵ではない。デジタル資産を効果的に保護するためには、潜在的なリスクを認識しておく必要がある：

詐欺とフィッシング 暗号通貨業界ではフィッシングの試みが蔓延している。悪意のある行為者が正当なウォレット・プロバイダーになりすまし、プライベート・キーやリカバリー・フレーズを盗むのだ。ユーザーは用心深く、ウォレットのウェブサイトとやり取りする前にその正当性を確認する必要がある。
秘密鍵または回復フレーズの紛失： プライベート・キーやリカバリー・フレーズを忘れたり紛失したりすると、永久的な経済的損失につながる可能性があります。バックアップは安全に保管し、誰とも共有しないこと。
ハードウェアの故障： ハードウェアウォレットは堅牢ではありますが、物理的な損傷や故障を免れるものではありません。ユーザは慎重に取り扱い、リカバリ・フレーズのバックアップ・コピーを複数保管しておく必要があります。
規制リスク： 各国の規制変更は、暗号ウォレットの使用に影響を与える可能性があります。現地の規制やコンプライアンス要件について常に情報を得ることは、ユーザーにとって不可欠です。
第三者のリスク： オンライン・ウォレットや取引所を利用する場合、ユーザーは基本的に自分の秘密鍵を第三者のプロバイダーに預けることになる。これらのサービス・プロバイダーは、ハッキングやその他のセキュリティ侵害に対して脆弱である可能性がある。

暗号ウォレットのセキュリティにおけるユーザーの責任の重要性

暗号通貨の世界における有名な格言、"not your keys, not your coins "は、セキュリティに対するユーザーの責任を強調している。ウォレットの種類にかかわらず、ユーザーは暗号資産を保護する上で重要な役割を担っている。ここでは、暗号ウォレットのセキュリティを強化するために不可欠なプラクティスを紹介します：

信頼できるプロバイダーを選ぶ 定評のある信頼できるプロバイダーのウォレットを選びましょう。あなたの貴重品を財布サービスに託す前に、徹底的なリサーチを行い、レビューを読みましょう。
秘密鍵の保護： 秘密鍵の取り扱いには細心の注意を払ってください。秘密鍵はオフラインで保管し、決して誰とも共有しないでください。ハードウェア・ウォレットを使用することで、さらに安全性を高めることができます。
セキュリティ機能を有効にする： あなたのウォレットが2FA、マルチシグネチャ、暗号化に対応しているなら、それらを有効にしてセキュリティを強化しよう。
定期的なソフトウェアアップデート： 最新のウォレットソフトウェアを維持することで、最新のセキュリティパッチや改良の恩恵を受けることができます。
フィッシングへの認識： 不審なリンクをクリックしたり、オンラインで個人情報を提供したりすることに注意してください。ウォレットサイトとやり取りする前に、必ずそのサイトの正当性を確認してください。

暗号通貨を安全に保管するためのその他のヒント

ここでは、暗号資産のセキュリティを向上させるための追加的な対策をいくつか紹介する：

公衆Wi-Fiの利用を避ける 暗号ウォレットにアクセスする際は公共のWi-Fiネットワークは安全でないことが多く、ハッカーに侵入される可能性があります。
VPN（仮想プライベートネットワーク）を利用する を使用すると、インターネットトラフィックを暗号化し、IPアドレスを隠すことができます。これにより、あなたのログイン情報を盗もうとするハッカーからあなたを守ることができます。
投資を分散させる。 すべての暗号通貨を1つのウォレットに保管しないこと。リスクを分散するために、ホットウォレットとコールドウォレットを組み合わせて使うことを検討しよう。
秘密鍵の安全なバックアップをとっておきましょう。 ハードウェアウォレットを紛失したり、PINを忘れたりした場合、暗号を復元するために秘密鍵が必要になります。しかし、秘密鍵は安全に保管し、決して誰とも共有しないことが重要です。

Kroo、セキュリティ上の懸念から暗号取引を禁止する英国のチャレンジャー銀行に加わる

英国のデジタル銀行Krooは、オンライン詐欺や詐欺の増加を主な理由として、暗号通貨に対して強い姿勢を示している。この決定は2024年5月30日から有効となり、Krooの顧客は暗号通貨関連の取引に口座を使用することが禁止される。

Kroo'による暗号活動の制限

Kroo'の更新された利用規約には、暗号通貨取引に対するゼロ・トレランス・ポリシーが概説されている。もし顧客が自分の口座を使って暗号通貨に関連する資金を売買したり、受け取ったりしているのを発見した場合、銀行は措置を講じる。

この措置には、取引のブロック、口座の凍結、あるいは暗号活動を執拗に試みた場合の永久閉鎖などが含まれる。

同銀行は特に、暗号通貨に関連する銀行送金やカード決済を今後処理しないと言及している。これは事実上、顧客がKroo口座を暗号通貨取引に利用する手段を断つことになる。

英国のチャレンジャー・バンクの動向を追う

Kroo'の決定は、英国のチャレンジャー・バンクの間で高まっている傾向と一致する。スターリング銀行やチェースUKのような他の金融機関も、すでに暗号取引の禁止を実施している。これらの銀行は、既存の金融大手と競争することを目指し、顧客基盤を保護するためにセキュリティ対策を優先している。

暗号関連詐欺への懸念

暗号通貨に関わるオンライン詐欺の増加は、Krooや他の銀行にとって大きな懸念である。暗号通貨は匿名性が高いため、悪意のある個人を惹きつける可能性がある。詐欺師は、資金洗浄や疑うことを知らない被害者をだますために暗号取引を利用するかもしれない。

ロシア中央銀行によると、2023年に発生した金融詐欺事件の半数近くが暗号通貨に関するものだった。これは、規制されていない暗号市場を扱う際に、伝統的な金融機関が直面する潜在的なリスクを浮き彫りにしている。

世界の銀行が暗号通貨に注意を促す

Kroo'の決定は、世界の銀行セクターにおけるより広範なセキュリティ上の懸念を反映している。米国のような国でさえ、連邦準備制度理事会（FRB）のような当局は、銀行が暗号を採用することに懸念を表明している。

暗号通貨や中央銀行デジタル通貨（CBDC）に関連する詐欺や詐欺の可能性は、主要な懸念分野である。

暗号の世界が進化し続ける一方で、Krooのような伝統的な銀行は、暗号通貨取引に関連するリスクから距離を置くことで、セキュリティを優先している。

暗号通貨は、セキュリティ上の懸念があるリスクの高い投資です。ここでは、そのポイントを解説する：

暗号通貨は投資として安全か？

暗号通貨は不安定な投資であり、価格が大きく変動する可能性がある。確立された資産クラスとは異なり、暗号通貨はほとんど規制されていないため、リスクが高まる可能性がある。

このような規制の欠如は、暗号取引所が倒産したりハッキングに遭ったりしても、資金が戻ってくる保証がないことを意味する。

暗号通貨のセキュリティリスク

詐欺： 暗号通貨詐欺が蔓延しており、犯罪者は偽のアプリ、ウォレット、Eメールを使ってあなたの秘密鍵を盗み、暗号通貨にアクセスします。未承諾のオファーには注意し、新しい暗号通貨に投資する前には必ず調査すること。
限られた法的保護： 従来のデビットカードやクレジットカードでの購入とは異なり、暗号通貨取引には法的な保護が少ない。詐欺に遭ってお金を失っても、取り戻せる可能性はほとんどない。
不可逆的な取引： 暗号通貨の取引は、ブロックチェーン技術により一般的に不可逆的です。つまり、何か問題が起きても返金されない。