皆さんは保有するビットコインをどのように管理していますか?

  1. 取引所に放置
  2. スマホやパソコンのウォレットアプリで管理
  3. ハードウェアウォレットで管理
  4. 2と3を組み合わせてマルチシグアドレスを構築して管理

ビットコインの知識と保有量が増えるにつれ、1→4へと徐々にアップグレードする方が多いと思います。4は CasaやUnchained Capitalが提供するジョイントカストディサービスを利用するならありですが、まだ自力でやるにはハードルが高いので、現状は3という方が多いのではと推測します。

ハードウェアウォレットは、ニモニックと呼ばれる12または24の英単語を劣化しにくいステンレス板などの媒体に記録、できれば25個目の単語とも呼ばれるパスフレーズも設定し、ウォレット本体、ニモニック、パスフレーズの3つを別々の場所に安全に保管し、何があっても絶対にニモニックをウォレット本体以外の端末には入力しないという鉄則を守れば、現時点では最も安全な管理法だと思います。

本コラムでは、最近発覚した新手のハードウェアウォレット詐欺手口を紹介するとともに、改めてハードウェアウォレット購入時、使用時の注意点をおさらいします。

***************

昨年6月、ハードウェアウォレット製造販売の最大手、フランスLedger社のデータベースがハッキングされ、大量の個人情報が不正流出した事件を覚えてますか?過去にLedger社の公式サイトから商品を購入した顧客100万人のメールアドレス、さらに9,500人にいたっては氏名、住所、電話番号、購入商品、購入個数まで含む情報が盗まれました。

ビットコインを保有していることが知られると誘拐、強盗といった犯罪の標的となりかねない治安の悪い国もあることから、世界中のLedgerユーザーを震撼させました。

しかも、事態はさらに悪化します。昨年12月、とあるインターネットフォーラムに流出リストが投稿され、誰でも閲覧可能な状態になったのです。

私もLedger社の公式サイトから商品を購入したことがあったので、自分の情報が公開されているのではと心配になり、ウィルス感染リスクを覚悟してリストをダウンロードしました。幸い、私の情報は含まれていませんでしたが、住所欄で”Japan”と検索したところ約1,400件が該当しました。2017年バブル時に、使い勝手の良さから爆発的にヒットしたLedger Nano Sを購入した日本人もかなりいたのだと推測します。

***************

情報漏洩の被害者には、その後、断続的にフィッシング詐欺や強盗予告のメールやSMSが届いているようです。

そして、6月中旬、新しい詐欺手口が報告されました。被害者宛にバックドアが設けられたLedger Nano Xが郵送されるというものです。

以下、偽物を分解分析したReddit投稿と、Kraken Security Labsが手口を再現したレポートの概要です。

https://www.bleepingcomputer.com/.../criminals-are.../

https://blog.kraken.com/.../alert-modified-hardware.../

  1. 梱包は”shrink wrapping”で本物と同じ(文末左の画像)
  2. 同封のLedger CEOのレターは英語の誤りがあったりと不自然
  3. レターには、利用中のウォレット端末には安全性の懸念があるため、新しいウォレット端末に資産を移すようにとの指示とともに、新しい端末は資産移管専用のため、新たなウォレットは作成できないと赤字で注意書きも
  4. ウォレット端末の外見からは偽物との判別不能
  5. 分解すると本物にはない極小USBスティックが埋め込まれていた(文末右の画像の赤線で囲まれた箇所)
  6. 同梱マニュアルには、ウォレット端末をPCに接続し、PC画面に表示されたフォルダーのアプリを起動するようにとの指示
  7. 指示通りにアプリを起動すると、偽のLedger Liveが表示され、旧ウォレットのニモニック入力が促される

ここでニモニックを入力してしまうと、ハッカーに転送され、ウォレット残高を全て盗まれるということでしょう。

そもそも自分で購入していないハードウェアウォレットを使うのは危険です。ただ、もし3のレターの内容を信じて、マニュアル通りに作業を始めても、「ハードウェアウォレットのニモニックを入力して良いのはハードウェアウォレット本体だけ、PCやスマホなどネット接続端末には絶対に入力しない」という鉄則さえ覚えていれば、7でおかしいと気づきます。

この詐欺はハードウェアウォレットの調達、細工、郵送をともなうため、従来手口に比べて手間もコストも桁違いのはずです。にもかかわらず、利益を見込んで実行に移すのですから、鉄則を知らない人が少なくないということなのでしょう。

***************

情報は一旦流出するとダメージコントロールは非常に困難です。法的、合理的理由なく、カジュアルに個人情報の提供を求められることの多い昨今ですが、収集した情報の利用法や管理法に関する説明責任を果たしている企業は少数です。情報漏洩事件が起きて実態が判明し、あまりのずさんさに呆れ、憤りを覚えることも多いのでは。

Ledger社は事件後に顧客情報の保存期限を3ヶ月に短縮、競合他社も同じような方針変更を発表しましたが、被害者にとっては後の祭りです。提供した個人情報は流出するという前提で、被害を未然に防ぐべく自衛策を講じることをおすすめします。

ビットコインが将来大きく値上がりすると、ビットコイン保有者は格好の犯罪ターゲットとなる可能性があります。ハードウォレットを含むビットコイン関連商品やサービスの購入・利用時には、このリスクを認識した上で細心の注意を払いましょう。

以下、”Mastering Bitcoin”の著者Andreas Antonopoulos氏のアドバイスを参考に、私が個人情報提供時に実践している対策です。

  • 氏名:偽名を使用、または本名でも微妙にスペルを変える
  • メールアドレス:使い捨てアドレス、または流出時に流出元をトレースできるようなアドレス(例えば、abc123+ledger@、abc123+trezor@)を使う
  • 住所:会社など自宅以外の住所や私書箱を利用、郵便局留め(Ledgerからの流出リストを分析したところ、私書箱の利用率はわずか1%だったそうです。)
  • 電話番号:SMSを受け取らないよう偽番号または固定電話番号を使う

***************

最後に、ハードウェアウォレットに限らず、ビットコインを送金する際の注意点です。

送金先アドレスをコピペする場合、貼り付けたアドレスは必ず1文字ずつ全て確認しましょう。クリップボードに保存したアドレスを似たような偽アドレスに書き換えるマルウェアが多数報告されています。最後の数文字しか確認しなかったために、偽アドレスに送付してしまい盗まれた事例は定期的に目にします。コピペの際にアドレスを2分割、2回に分けるという技を使っている人もいるようですが、マルウェアが進化しないとも限らないので、やはり全文字確認を徹底したいです。

また、送金金額が大きい場合、送付先アドレスが正しいことを確かめるために、まず少額テスト送金する人は多いと思います。

私も以前はテスト送金を必ず行っていましたが、最近はRBF(Replace-By-Fee)という送金後に手数料を上乗せできる機能のあるウォレットからの送金時にはテスト送金を省いています。代わりに、mempoolに弾かれない程度の低い手数料で送金し、受金ウォレットにトランザクションが反映されることで送付先アドレスが正しことを確認します。その後、急ぎなら手数料上乗せ、急ぎでなければ、そのまま放置します。今後さらなる手数料上昇が見込まれるので、テスト送金の手数料がかからないこの方法はありなのではと考えています。