昨今、バブルで盛り上がるにつれ、ウォレットのハッキング事例が増えています。ハッキング手法は益々巧妙化し、全財産を抜かれるクリプトユーザーもいます。
ハッキング手法はますます巧妙化しています。直近観測されただけでも
・ ユーザーインタビューと称して、マルウェア付きのソフトを仕込む。
・公式サイトのTwitterをハッキングして、公式サイトからエアドロップサイトへの誘導
・公式Twitterのリプライ欄で、公式を装ったアカウントとして告知
・アドレスの下4桁が同じアドレスを仕込ませて、誤送信を狙う
では、我々クリプトユーザーは、どうやってハッキングから身を守ればよいのでしょうか。ここで、私は**「ゼロトラストウォレット」**を提唱したいと思います。
これは、どういう意味かというと、「ハッキングされないようにする」ウォレット管理ではなく、「ハッキングされる」前提のウォレット管理にするということです。
このゼロトラストという思想は、Web3ではなく、ネットワーク管理の世界から持ってきた概念です。
最近、社内ネットワーク管理においても、パブリックなインターネットから社内ネットワークへ至る境界の防御を高める「境界型セキュリティ」から、社内外すべてのネットワークを疑う「ゼロトラストセキュリティ」思想へと変化しています。
このゼロトラストについて、NRIのサイトを引くと思想として「Verify and Never Trust」とあります。あれ?この標語、Web3でよく言われる「Don’t trust, verify」に似ていませんか??
そうです!この考え方は、Web3と、とても相性が良いと考えています。
では、我々がWeb3において、この思想を活かしてどのように防御をすれば良いでしょうか。それは、「ハッキング被害には必ずあうもの」という前提にたって自分の行動を考え、「ハッキングされても被害を軽減するにはどうすればよいか」と常に考えるのです。
では、ゼロトラストウォレット管理をするうえで、具体的にどのように管理をすればよいのでしょうか。ここで重要なのは、「セキュリティと利便性はトレードオフ」ということです。自分のリスク許容度および資産額に応じて最適な管理をすれば良いです。次の章で、何個か事例を出しますが、まず重要なものは「単一障害点」をなくすということです。単一障害点というのは「ここを突破されたら全て終わる」という点です。ウォレットにおける構成要素を分解し、それぞれにおいて適切な管理を考えます。ここで、私が考えるウォレット構成要素はこちらです。
ウォレットアドレス
ウォレットソフト(Rabby, CEX, MetaMask)
プロトコル(DeFi, ゲーム, NFT, 生トークン保有)
デバイス(PC、スマートフォン、Mac, Linux)
シードフレーズ
自分自身
それぞれにおいて、考慮要素を考えていきましょう。
まず、最も基本ですが、ウォレットアドレスごとに資産を管理していくのが基本ですので、よくお触りするウォレットと、資産を管理するウォレットを分けるのは基本になります。俗に、資産管理はハードウェアで、お触りはソフトウェアと言われています。これを守るのは非常に効果的です。なぜなら、現状最も多いハッキング手法のフィッシング詐欺は、最終的に署名をさせるタイプがほとんどです。(シードフレーズを要求するフィッシングはめっきり少なくなりましたね)
つまり、つい寝ぼけて変な署名をして資産が抜かれても、ウォレットを分けていれば、侵害されるウォレットは一つだけであり、他のアドレスは安全性が保たれます。
ただ、最近は大きいお金のデポジットを促す系のエアドロップが増えています。そのため、メインウォレットも寝かしているだけでなく、様々なプロトコルに預けている方が多いでしょう。その場合は、ハードウェアウォレットのアドレスも何個かに分割しておく必要があるでしょう。(筆者は、これで被害を軽減したことがあります)
次に、どのウォレットソフトで管理をするかです。これも、一つだけでなく、様々な手法を織り交ぜたほうが安心です。とりわけ、RabbyやMetaMask をはじめとしたソフトウェアウォレットは、侵害の可能性がゼロでない可能性に留意する必要があります。過去に、SolanaのSlope walletで、シードフレーズが漏れ出すサプライチェーンアタックで、大規模なハッキング事件が起きたことがあります。
大きめの資産を管理するときに、BitgetなどのCEXを使うことも充分検討に値すると思います。正直、自己で管理する必要のあるWeb3ウォレットより、CEXに入れておいたほうが、二段階認証やIPアドレス制限などもあり、デフォルト設定で安全であると考えています。FTX事件などでカウンターパーティリスクも不安視されましたが、それでもなお、CEXは、より安全であると考えています。
ハードウェアウォレットは、現状セキュリティにおいて最も安全であると考えます。ハードウェアウォレットは、秘密鍵がデバイスの中から漏れないため、たとえPC全体がハッキングされても、秘密鍵が漏れることはありません。LedgerやKeystoneなどの選択肢がありますが、私は、KeyStoneのようにQRコードを使って署名するタイプのハードウェアウォレットを推します。せっかく手間をかけてハードウェアを使うのであれば、PCに一切接続しないタイプにしましょう。
ソフトウェアウォレットを使う場合、RabbyやPocketUniverse などのセキュリティアラート機能がついたウォレットを使うのは、もはや必須といえるでしょう。その点では、MetaMaskは脆弱すぎるため、現在おススメしていません。
下記、リファリンク張りますので、興味ある方は試してみてください。
KeyStone
BTCを生で管理している方ならともかく、DeFi系や、ゲームやNFTなどを触る人、エアドロハンターは資産をプロトコルに預ける人がほとんどでしょう。当然なら、自分の資産をプロトコルに預ける場合、当然プロトコルのリスクが発生します。昨今、プロトコルがあまりに複雑になったため、完全にリスク検知を個人で出来る人は居ないと思っています。そのため、大原則として、「一つのプロトコルに預けすぎるな」」をここでも考えるべきです。自分の許容できるリスク最大値を設定し、その範囲内でDeFiやエアドロ活動をしましょう。
ウォレットを触るデバイスも重要です。先日も、PCがマルウェアに感染したために全資産を抜かれた報告がありました。
通常使いのPCと、仮想通貨を触るPCを分けるのはとても重要と言えるでしょう。もし、PCが二個もないよという方であれば、クリプトをPCではなく、スマートフォンで触るのでも充分効果的です。実は、スマートフォンのAppはPCより安全です。スマートフォンの場合は、一つのアプリが他のアプリを侵害することは基本的に出来ません。
また、ウイルス対策という意味であれば、ウイルスソフトを入れるのも有効ですが、完全ではないというべきです。ウイルスはいたちごっこのため、対策ソフトを潜り抜けるウイルスが仕込まれてくる可能性はあります。とはいえ、無いよりはあったほうが全然良いです。
仮想通貨を触るPCを、MacやLinuxにするのも効果的でしょう。現状、マルウェアはWindowsに最適化されている事がほとんどです。
シードフレーズの保管方法も重要です。たとえば、シードフレーズをスクリーンショットで取得するのは厳禁と言えます。なぜなら、iPhoneの画像データは、簡単に他のソフトが抜き出すことが出来るからです。もし、クラウドでシードフレーズを管理するのであれば、専用のパスワード管理ソフトを使うべきです。
また、ハードウェアウォレットを使うのであれば、やはりシードフレーズは物理的に管理するべきでしょう。紙に書いて貸金庫に入れるのはよく使われている手段です。ただ、もしあなたがKOLであるのであれば、物理的な窃盗の可能性も加味して、シャミア分散などを利用してシードフレーズを分割して複数拠点に置くべきであるといえます。
最後に、最大の障害点は自分であるべきと考えるべきです。自分自身が障害!?どういうことでしょう。
例えば、発展途上国だと、身柄を拉致されて、全ての資産が盗まれた話がよく聞きますね。では日本では安全なのでしょうか。いやいや、「オレオレ詐欺」に引っかかって大事な資産を振り込んでしまう可能性は?今すぐ振り込めば10倍になるという投資話をついつい信じてしまう可能性は?プロジェクト共有管理のウォレットであったり、あなたが本当のクジラであるなら、大事な資産はマルチシグに入れるべきでしょう。
以上のように、ウォレットのセキュリティは考えれば考えるほど沢山出てきますが、先ほども述べたように、利便性とセキュリティはトレードオフです。最適解は各自考えるべきですが、参考までにいくつかの事例を出します。
Web3にそこまで軸足を移しておらず、エアドロップお触りやトレードをたしなむ程度であれば、ハードウェアウォレットは冗長すぎるのではないかと思っています。それであれば、仮想通貨の多くの部分をCEXに預け、それ以外にエアドロップお触り用のWeb3ウォレットを一つ作るので充分であると思います。先ほども述べたように、CEXは取引所閉鎖リスクはありますが、Web3のハッキングリスクよりよっぽど小さいです。最近のCEXは、1000ドルくらいであればとても利回りの良いステーキングキャンペーンなども多いので、充分使えると思っています。
自分の資産管理の軸足をクリプトに移し、かつエアドロなどの攻めの姿勢をとるのであれば、ウォレット分散およびハードウェアウォレットの利用は真剣に考えるべきです。
Web3 wallet はセキュリティ対策をとられたウォレット
ハードウェアウォレットでの管理
メインウォレットも、プロトコルごとに分散してウォレットを分ける
シードフレーズは紙に書いて金庫へ
取引用CEXは、カウンターパーティリスクを検討して耐えうる程度
プロトコルは監査を確認し、一つに寄りすぎない(マネーレゴやレバレッジはさらに注意)
ここらへんのセキュリティの知識を勉強しつつ、単一障害点を無くす努力をすべきです。とくに、エアドロ活動をゴリゴリにやるのであれば、最終的に10以上のウォレットになるのは必然であると考えてください。
ただ、エアドロ活動の全てをハードウェアウォレットで最適な管理をするのは、チェーンが複数にまたがるのであればしんどいでしょう。例えば、「おさわりウォレットは、シードフレーズをクラウド管理(最大限度額1000USD以上)」 「メインウォレットはハードウェア管理」など、メリハリをつけて管理するべきです。
もし、これらの検討をしたくないのであれば、ETHやBTCなどで単純に保管するか、CEXに預けましょう。
あなたが、多数のフォロワー数が1000以上のKOLであれば、標的型攻撃の対象になる可能性が高いです。標的型攻撃は、あなたの行動やウォレット履歴などをチェックしたうえで、もっとも弱い攻撃方法を狙ってくる攻撃手法です。たとえば、この人は、よく似たアドレスを送り付けられて振り込んでしまうアドレスポイズン手法を使って、1155 WBTCを振り込んでいます。
なので、この場合、あなたのどのウォレットにおいても、ハッキングで侵害が起きる可能性があると考えたほうがよいです。
PC を複数台保有(Windows, Mac, Linux )
マルチシグを利用して、自分自身だけでは引き出し出来ないようにする
シャミア分散を利用して、物理的な窃盗における対処を万全に
HWWも複数台保有し、偏らない(サプライチェーン攻撃への対処)
セキュリティにおいて、銀の弾丸はありません。これをすれば必ずOKというのはありません。各自のリスク許容度、おかれた立場などによって、最適なセキュリティプランは変わってくるでしょう。大事なのは、自分を過信したりせず、常にハッキングを受ける可能性があることを念頭において動くことだと思います。よいクリプトライフを