セキュリティ/保管：よくある質問集

AndGoハードウェア担当 • 2023年07月27日

セキュリティ/保管に関するよくある質問をまとめています。

モバイルウォレットは安全か？

スマートフォンなどで動作するモバイルウォレットアプリは非常に簡単に導入でき、決済などにも便利に使えます。しかし、バックドアが仕掛けられ、秘密鍵を盗まれてしまう・・・という可能性はゼロではありません。したがって、安心して使えるかどうかはアプリとアプリの開発者を信じられるかどうかとなります。

ただ、悪意のある第三者に攻撃されたという事例は少ないので、資産の一部を入れておく程度であれば、問題ないレベルで使えると思います。より安全な使い方をするのであれば、拡張公開鍵だけをアプリにインポートしておき残高を確認するだけのウォレットにする、という使い方もおすすめです。

最も安全にビットコインを保管する方法は何か？

個人の考え方によって何を以て安全とするかが変わってきますので、ケースごとに回答します。

「組織が信用できないっ！」という方でしたら完全に自己管理する方法となります。取引所やソースが公開されていないアプリなどは一切使用せず、メンテナンスがされているオープンソース(しかもソースコードは納得いくまで自分で解析する)のハードウェアウォレットなどに保管するというのが最も安全な保管方法となります。もちろん、ウォレットは盗難や火災、自然災害などの被害に遭わない場所に保管する必要があります。

「インターネットが信じられないなー」という方向けには秘密鍵をオフライン環境下でご自身で作成した上で、ペーパーウォレットに保管するという方法が良いでしょう。パソコンを使う場合には一切ネットに接続せず、電源もコンセントに接続せず、バッテリー駆動にすると良いでしょう。

「自分自身が全く信用できない・・・」という方でしたら、取引所に預けておくというのも一つの選択肢です。秘密鍵をなくしてしまったり、操作ミスによる消失の可能性は抑えられます。ただし、取引所は過去に何度かハッキングを受けて実際に被害に遭っていますので、複数の信頼性のある取引所に分散しておきましょう。

両者の折衷案となりますが、そこそこ検証されているハードウェアウォレットを信じて保管するというのがバランスの取れた方法となります。もちろん、ハードウェアウォレットのPINやパスフレーズは設定しておき、シードフレーズは分散して保管し、資産を持っていることは人に言わない、などの基本的な対策をすることで安全性を高めることができます。どの方法でも言えることですが、仕組みをしっかり理解して自己防衛することが最も重要です。

参考記事リスト

ビットコインとその他のコインの管理セキュリティはどちらのほうが高いか？

ご質問にある「その他のコイン」ということですが、ビットコイン以外の暗号通貨、いわゆるアルトコインという理解で回答いたします。

アルトコインには、ビットコインをベースにフォークしたものや、Ethereumなどのように独自のプラットフォームを持つものがあり、多様な特徴を持ちます。これらすべてと比較して、ビットコインの管理セキュリティが高いかどうかを回答するのは少し難しいと思います。

ただ一般的に暗号通貨は、中央集権的な管理体制を持たないことが前提であるため、その管理の安全性対策は必要です。ユーザー自身が安全に管理する場合、強力なパスワードの使用、ハードウェアウォレットの利用など、セキュリティ対策を講じることが重要であり、ビットコインとアルトコインとで保存管理におけるセキュリティ面で違いはありません。

ただし、取引システム全体に対する脅威が発見されたり、それに伴い、使用しているウォレットソフトウェアや関連システムのセキュリティアップデートなどを行うこともあります。この場合、開発コミュニティが活発に活動していることが、セキュリティを高める上で重要な要素の一つとなります。以下のような点を考慮すると、ビットコインの方が一般的なアルトコインよりが管理セキュリティが高いといえるかもしれません。

ビットコインは2009年に始まった暗号通貨であり、その他の通貨に比べて歴史が長く、広く認知されています。これまで大きなセキュリティ上の問題が発生して決済ができなくなるようなことは無く、長期的運用における安全性が高いと言えます。
ビットコインの開発コミュニティは比較的活発で、多くの専門家がコードのレビューや改善に取り組んでいます。これによりビットコインの関連技術はセキュリティ向上が継続して行われていると考えられます。一方、いくつかのアルトコインは、開発者の数が少ないなどの要因で活発なレビューや開発が遅くなる場合も一般的にあります。
ハッシュレートが高いと一般に堅牢であると言われます。ビットコインはハッシュレートが高いため、低ハッシュレートのアルトコインと比較して堅牢であるといえます。

一方で、アルトコインでも一部のものは上のような性質をビットコインと同等に持つものもあります。また、特定のセキュリティ機能やプライバシー機能の向上を目的に改善されたといわれるアルトコインも一部にあります。これらはビットコインよりもセキュリティが高いと感じられるかもしれません。しかしながら、本当に安全かどうかは長期的な運用において確認されるべきものでもあり、その点においてはビットコインの方が一般に優れているように思われます。

ホットウォレットとは何か？

ホットウォレットとは、インターネットに接続された状態のウォレットのことです。

例えば、ウェブブラウザ上で使用できるウォレットや、デスクトップPCやモバイルなどにインストールしたアプリケーションとして利用するウォレットなどがあります。

インターネットに接続されているデバイスから直接アクセスできるため、取引や資金の移動が迅速に行えます。特にモバイルウォレットは携帯性に優れているため、外出先で仮想通貨を送受信するのに適しています。

一方で、ホットウォレットはインターネットに接続されているため、ハッキングのリスクが伴います。悪意のあるアクターやマルウェアによって、資金が盗まれる可能性があります。また、デスクトップPCの故障や、ホットウォレットのサービス事業者サーバーやインフラに問題が生じた場合、資金の移動ができなくなることが想定されます。

安全性を最優先する場合や、大量の暗号通貨を長期間保管する場合は、インターネットから切断された「コールドウォレット」（オフラインのウォレット）を使用することが推奨されます。しかし、日常的な取引や少額の保管にはホットウォレットの利用が便利と考えられています。

専門のカストディ事業者を利用する意義はなにか？

カストディ事業者とは、暗号資産を保管・管理するサービスを提供する企業です。

取引事業者がカストディ事業を行う場合があります。これを取引所カストディと言います。ユーザーは暗号資産取引所で資産を購入し、そのまま取引所で保管するという方法です。利便性が高い方法ですが、もし取引所が倒産した場合、自分の資産を失う恐れがあります。

これらの取引所倒産リスクがあるため、自分で暗号資産を管理しようとすることも多いです。暗号資産を購入した後、自分のウォレットなどに移して管理することをセルフカストディと言います。セルフカストディは事業者倒産などのリスクは減らせますが、一方でユーザー自身がウォレットをなくしたりパスワードを忘れたりするリスクを個人で負わなければならないという点があります。

もう一つの方法として、第三者機関によるカストディ事業があります。これらは専門のカストディ事業者ということで、高度なセキュリティ手法やインフラを採用しており、個人や一般の企業よりも資産を安全に保管する能力が高いと言われています。特に、大手機関投資家や大規模な取引所などのエンタープライズレベルの組織は、これらの利点を最大限に活用することができます。専門のカストディ事業者によって、機関投資家などが暗号資産市場に算入しやすくなるというメリットがあります。

マルチシグとは何か？

マルチシグとはMultisignatureの略であり、複数の秘密鍵で署名を行う技術のことです。仮想通貨のウォレットで使用されており、セキュリティを高めるために使用されています。

代表的なマルチシグの方式では、トランザクションを承認・送信するために、指定された複数のプライベートキーの署名を必要とします。この場合、マルチシグの構成は「M-of-N」形式で表されます。ここでMはトランザクションの承認に必要な署名の数を、Nは全体の署名キーの数を示します。例えば、3-of-5のマルチシグシステムでは、5つのプライベートキーのうち3つのキーから作られる署名がトランザクションの承認に必要となります。

1つのキーだけが必要なシステムと比べると、複数のキーが必要である分、マルチシグはセキュリティが高いと考えられます。例えば3-of-5の場合、仮にキーが２個盗まれても、それだけでは資産の移動はできません。

また、組織や団体での暗号通貨の保管や管理が容易になります。大きな取引や資金移動に際して複数の承認を得る場合、マルチシグのキーをそれぞれ決済権限者が所持することで適切に管理することができます。規定の人数以上の決済権限者が承認・署名しなければ、送金を行うことができません。

Torとは何か？ビットコインとの関係性は？

Tor（The Onion Router）は、インターネット上の閲覧や通信を匿名化するためのネットワークです。ユーザーはTorを利用することで自分の身元を隠してインターネットを閲覧したり、通信したりすることができます。

Torは無料のソフトウェアとして提供されており、誰でも使用することができます。Torではユーザーの通信は複数のサーバを経由して送信され、送信元や受信先のIPアドレスを隠すことができます。

一部の国や組織では、特定のウェブサイトやサービスへのアクセスが制限されている場合があります。Torはこれらの制限を回避する手段として使用されることもあります。このような特徴から、Torはプライバシーを重視するユーザーや検閲を回避したいユーザーによって利用されることが多いです。

Torとビットコインは、どちらも匿名性を重視した技術です。そのため、Torとビットコインは一緒に使用されることも多いです。例えば、Torを使用してビットコインのトランザクションを送信することで、自らのIPアドレスを隠蔽し、匿名性を高めることができます。

高度なプライバシーを求めるユーザーや、制約された環境での取引を行いたいユーザーにとっては、Torと組み合わせて使用されるビットコインは魅力的なものであると考えられます。ただし、Torとビットコインによる匿名性は完全なものではなく、IPアドレスが特定される可能性がゼロではないことにも注意する必要があります。

また、Torとビットコインは、正当な目的にも使用されますが、違法な目的にも悪用される可能性があります。例えば、ダークウェブでの取引で使用されているということが指摘されており注意が必要です。

コールドウォレットとは何か？

コールドウォレットとは、インターネットに接続されていない状態のウォレットです。

コールドウォレットはハッキングやオンラインの脅威から資産を守る方法として適しており、ホットウォレット（インターネットに接続されているウォレット）と比較してセキュリティリスクが低いと考えられます。そのため、比較的大きい金額のビットコインを保管するのに適していると一般的に考えられています。

初期設定などには多少の知識が必要となりますが、自分自身で秘密鍵を完全に管理するため、サードパーティのサービスに依存することなく資産を保管できるというメリットがあります。

代表的なコールドウォレットには、ハードウェアウォレットとペーパーウォレットがあります。

ハードウェアウォレットは、専用のハードウェアデバイスに仮想通貨を保管するウォレットです。ハードウェアウォレットは、USBメモリ型やボタン・液晶などのインターフェイスがついたデバイスなど、さまざまな種類があります。一般に持ち運びがしやすい小型のものが多いです。

ペーパーウォレットとは、仮想通貨の秘密鍵を紙に印刷して保管するウォレットです。ペーパーウォレットは、コンピューターやハードウェアウォレットのような電子デバイスを一切使用しないという点で、シンプルであり、低コストなウォレットです。しかし、印刷した紙を紛失したり、盗難されてしまうなどのリスクがあります。

ハードウェアウォレットで長期放置するのは問題ないですか？

ハードウェアウォレットでは秘密鍵をフラッシュメモリの内部に保存しています。このフラッシュメモリは基本的には書き換え回数や保存期間が仕様として決められており、無期限に保存できるようなものではありません。古い携帯電話、USBメモリ、SDカードなどでいつの間にか内容が消えていた、ということを体験された方も多いのではないでしょうか。またハードウェアウォレットを構成している部品として不具合が起きやすいものとしては、USBコネクタ、ディスプレイ、バッテリーなどがあります。USBコネクタは機械的なストレスが掛かりやすいですし、ディスプレイも有機ELで不具合が出やすいです。バッテリーも使い方次第ですが、数年で劣化して使えなくなります。

ウォレットは保管のためのデバイスではなく署名装置と考え、シードフレーズの方を安全に保管して、いつウォレットが壊れてしまっても問題がないようにしておくことが基本です。それでもハードウェアウォレットが壊れるのは、あまり気持ちの良いものではありません。より長く使うための方法をご紹介します。

時々電源を入れる・・・フラッシュメモリは通電することでリフレッシュされ、中身が消えにくくなります。バッテリーも時々充電することで長持ちします。
温度や湿度に気をつける・・・電子部品は極端な高温で不具合を起こしやすくなります。低温・多湿条件では結露して金属部が腐食する可能性があります。また室内が乾燥しすぎていても静電気が発生しやすくなります。人間も快適と感じる20〜30℃・30〜50%程度に保つことが理想です。
駆動部は丁寧に取り扱う・・・USBケーブルはグリグリせずに垂直に挿抜する、ボタンは強く押しすぎないなどです。

ハードウェアウォレットを首にぶら下げている人を見ましたが安全ですか？

ハードウェアウォレットが盗まれてもPINやパスフレーズが分からなければ資産は盗まれませんので、その点に限れば安全ではあるのですが、PINやパスフレーズを明かすように脅される危険性がありますので一般の方にはお勧めはしません。

取引所に預けているビットコインは安全ですか？

過去に取引所が攻撃されて資産が盗まれる事件がありました。当然取引所は攻撃のターゲットになりやすいといえます。取引所の内部の人間に悪意があって盗まれるという可能性もゼロではありません。もし取引所が信じられず、自分でウォレットを所持して管理する場合には、全てが自己責任になります。

取引所と自分自身どちらが信じられるか、という問題になりますので、一概にどちらが安全であるとは言い切れません。取引所に保管するのであれば、管理がしっかりしている取引所複数を使い、自己管理する場合には仕組みを勉強し、適切な管理方法を選ぶことが重要です。

PCとハードウェアウォレットをUSBやBluetoothで接続するとビットコインを盗まれるリスクは上がりますか？

ハードウェアウォレットはインターネットから切断されている環境で秘密鍵を安全に生成して保管できます。しかしトランザクションに署名するときにはどうしても間接的にインターネットに接続する必要があります。多くのハードウェアウォレットはUSBやBluetoothで接続しますが、この隙に秘密鍵が盗まれる可能性はあるのでしょうか？

まず、署名自体はハードウェアウォレット内で行わますのでUSBケーブルや空中を秘密鍵が流れることはありません。署名前後のトランザクションのみがやりとりされるだけです。また、悪意のある人がUSBやBluetooth経由でハードウェアウォレット内の情報を盗み出せるかについても、非常に難しいでしょう。ハードウェアウォレットに使用されているマイコンは非常に単純な機能しかないため、USBやBluetooth経由で何か攻撃をしかけるのはほぼ不可能です。

カメラと大きめのディスプレイを搭載したハードウェアウォレットでQRコード経由でトランザクションをやり取りするものもありますが、そこまでセキュリティは向上しないと考えられます。セキュリティホールがもしあるとすれば、トランザクション自体を不正なものにして、ハードウェアウォレットに意図されていない動作をさせるという手口が取り得ます。それはハードウェアウォレットそのもののバグを突くもので、通信方式に依るものではありません。

安全なシードフレーズの保管方法は？

シードフレーズは12〜24単語の英単語で構成されます。考えなければいけないリスクとしては盗難と紛失があります。盗難リスクを下げるためには、金庫にいれておく、パスフレーズを併用する、シャミアバックアップをつかって複数の場所に分散して保管するなどの方法があります。紛失リスクを下げるためには、同じシードフレーズを複数の場所に保管する、災害の危険性が少ない場所に保管するなどの方法があります。

盗難リスクと紛失リスクはトレードオフの関係にあることが多いです。例えば、より強固な金庫にシードフレーズを保管しておくと、盗難リスクは下げられる一方で、金庫を開けられなくなるという紛失リスクが上がります。特にシャミアバックアップを使った場合にはN of MのNとMをどのように設定するかによって、盗難リスクと紛失リスクを調節できます。

まずはトレードオフにならない対策をできるだけ取るべきです。例えば、シードフレーズを書き写すときにはダブルチェックする、ビットコインを保有していることをむやみに人に話さないなどです。シードフレーズを記録するための金属製のキットも有効です。シードフレーズを記憶しておくというのも一つの手段です。

オープンソースのハードウェアウォレットはセキュリティ的に問題はありませんか？

ビットコインの技術の最も重要な部分は完全にオープンな暗号技術でできています。セキュリティに関わる根幹の仕組みが完全に公開されています。したがって、基本的にはウォレットそのものはオープンソースであったとしても原理的に全く問題がありません。代表的なオープンソースのウォレットはTrezorですが、オープンソースであることによる被害例はありません。比較的、アップデートが頻繁にされているオープンソースのウォレットであれば、安心して使用できるといえるでしょう。

逆に中身が非公開であるクローズドソースのウォレットの代表例はハードウェアウォレットではLedgerです。多くのモバイルアプリも非公開です。クローズドソースのウォレットは脆弱性が発見されにくいため、脆弱性をついた攻撃がされにくい一方で、ソースコードがコミュニティの目にさらされない分、脆弱性そのものが修正されにくいというデメリットもあります。

なぜコールドウォレットを使うとビットコインを安全に保管できるのですか？

ビットコインを安全に保管するための要は秘密鍵です。この秘密鍵を盗まれるということはビットコインが盗まれることに直結します。逆に秘密鍵さえ安全に保管すれば基本的にはビットコインが盗まれることはありません。

たとえば、パソコンやスマホなどにインストールして使うウォレットはホットウォレットといいます。インターネットに接続されているデバイスに秘密鍵が入っているので、盗まれてしまう可能性は比較的高くなります。

それに対してコールドウォレットは、ネットワークに直接接続されないデバイスで秘密鍵を保管しておくデバイスのことですので、直接的な手段で物理的にコールドウォレットを盗まれない限り、秘密鍵を盗まれるようなことはありません。

また、一般的には秘密鍵はパソコンやスマートフォンに使われているプロセッサよりも遥かに単純なマイコンや、セキュアチップに格納されています。したがって、コールドウォレットは安全にビットコインを保管しておくことができます。

ビットコインアドレスを公開するのは安全ですか？

ビットコインアドレスは受信専用のアドレスですので、公開することはほとんどの場合は問題ありません。ビットコインアドレスから秘密鍵を復元することはほぼ不可能です。

ただし、プライバシーの観点から同じビットコインアドレスを使い回すことは避けたほうが無難です。というのも、そのビットコインアドレスに対してどれだけ送金が行われたかが、ブロックチェーンに書き込まれているため、あなたのビットコインアドレスにどれだけの送金があったかが知られてしまいます。通常の取引ではビットコインアドレスは使い捨てで毎回変わりますが、一旦生成したビットコインアドレスをQRコードにして印刷して使い回すという使い方もできてしまいます。そのような使い方をする場合には注意が必要です。

ウォレットのバックアップはなぜ重要ですか？

形あるものはいつか壊れますし、紛失や盗難のリスクもあります。ハードウェアウォレットをつかっていたととしても、秘密鍵はフラッシュメモリに入っているので、10年単位で保存できるかというと少々怪しいです。銀行のキャッシュカードの暗証番号やインターネットサービスのパスワードと違い、秘密鍵がわからなくなってしまうと復元することはほぼ不可能です。リスクを最小限にするため、バックアップは必ず必要です。

通常はシードフレーズ(24または12単語の英単語)を書き写したり、SDカードに保存したりする方法があります。いずれの場合もいざというときに復元できるように万全の対策をしておきましょう。

AndGoハードウェア担当

株式会社ＡｎｄＧｏ技術顧問 / 博士（工学）/ ハードウェアウォレット開発 / 趣味はDIY・機械いじり・ジョギング・スノーボード・ブレッドボード。