ビットコインを保有する場合、従来の資産を所有することとは異なるセキュリティリスクを伴います。
先日、セルフカストディ支援サービスで有名なCasa社のCTO Jameson Loppさんが、「あなたのビットコインにとって最大の脅威はなに?」というアンケートをとり、その結果トップ5と、Lopp自身が考える脅威トップ5とを公開しました。
世間の人々とセキュリティ企業のCTO、或いは本コラム執筆者の原とで危険度の認識がずれている結果となっており、大変興味深いです。
本コラムでは、上記アンケート結果をなぞりつつ、取引所保管であったり、いわゆる"Not Your Keys, Not Your Coins."のリスクについて改めて整理します。何が危険なのかをしっかり把握し、その上で対策を行いましょう。
LOPP的セキュリティ脅威ランキング
Loppがアンケートをとったところ、1,600票以上の投票があったそうです。https://www.forbes.com/.../lopps-threat-index-analyzing.../
あくまで、一般の人々がどのようにセキュリティ脅威を評価しているかが垣間見えるものとなります。といってもLoppをフォローしている程にはビットコイナー度の高い人が答えているという強烈なバイアスはありますね。
以下、順に確認していきましょう。僭越ながら、原の考えるランキングも追記しました。
なお、Loppはマルチシグウォレットを自身で管理するサービスを展開している点、原はエンタープライズ向けマルチシグウォレットソリューションを展開している点はご留意のうえ、一意見として咀嚼ください。
LOPPランク1位 不注意による紛失(ACCIDENTAL LOSS)
アンケート結果:1位(39.8%)
原ランク:1位
いわゆるセルフゴックスというやつです。ハードウェアウォレットの故障であったり、ニモニックの紛失を起因としてビットコインを動かせなくなっちゃう場合が該当します。また、場合によってはウォレットアプリのバグを起因とする場合もありますね。
アドレスに残高があることがエクスプローラから分かる分、とっても悔しいやつです。
認識としてはアンケート結果、Loppランク、原ランクともに1位です。
従来の資産クラスにはない大変特徴的なセキュリティリスクですが、この認識はLoppをフォローしている人々には十分浸透しているようです。
対策(Loppコメント)
バックアップをしっかりとること。ニモニックをメモってオフラインで保管しましょう。或いはマルチシグを導入します。
バックアップがちゃんと存在するか、機能するかを最低年1回確認しましょう。
対策(原コメント)
手に負える対策法が一番です。セルフゴックスするリスクは思ってる以上に高いと認識するべきです。
紙でしっかり保管する自信がないのであれば、1Passwordのようなパスワード管理ツールを使ってもよいと思います。少なくとも自宅保管での不注意による紛失などのリスクはなくなります。ただし、サーバー上には暗号化された状態のデータが保管されるとはいえ、ツールの作り自体に欠陥があったりするとそこが狙われることもあります。そこにはツール、その提供事業者に対する信用があることは留意すべき点となります。発展として、2つのパスワードマネージャにニモニックを分割して保管する、という手もあるかもしれません。
また、Casaのようなアシストサービスを利用するのもとても良い選択肢だと思います。
LOPPランク2位 物理的ではない盗難(DIGITAL THEFT/ATTACK)
アンケートランク: 3位(19.6%)
原ランク: 2位
一昔前は取引所のウォレットなど大きなところが狙われていましたが、そうしたところのセキュリティが強固になってきたためか最近ではフィッシング詐欺的な手口やソーシャルハックを通して個人のウォレットが狙われる話を見聞きするようになりました。例えば、Ledger Nano Sと繋がるブラウザ拡張等に罠を仕掛けられ送金時に窃取されたり、使い方を教えるよ、エアドロップを受け取る方法を教えるよと言葉巧みに誘導される手法です。
かくいう自分も、マイニング装置を売るフィッシングサイトに引っかかる寸前まで行きました。あまりに安いので気付いたのですが危なかった。。。ドメインもカートも一見本物なんですよね。
また、テレグラムの英語圏コミュニティにいると、管理者のふりをした輩が華麗に騙すシーンに出くわしたりします。世の中治安悪いです。
対策(Loppコメント)
重要な情報を他人と共有してはいけません。ビットコインの話を公然としてはいけません。未承諾メッセージを読む際は気をつけましょう。
対策(原コメント)
フィッシング詐欺的なURL/Webサイトや、ソーシャルハックの手口は巧妙化しており、これは本当に脅威だと思います。偽物の見た目は本物そのものです。送られてきたURLは怪しい前提で接し、はじめて開くウェブサイト、メール、メッセージを読む際はひたすら疑心暗鬼でいくのがいいと思います。
本物サイト・アプリを偽物と判断してもたいした被害はないです。偽物を本物と誤認知するのを防ぐほうが重要です。
また、アプリ、サービスが対応しているのであれば、MFA(多要素認証)を有効化するのが効果的だと思います。
LOPPランク3位 政府による押収(GOVERNMENT SEIZURE)
アンケートランク: 2位
原ランク: 4位
今のところは堂々と政府がビットコインを没収する事案はないですが、Loppやアンケートに答えた方々にはとても脅威なようです。
なんだかんだで治安のよい日本で生まれ育った自分は、ちょっと温度感が違っているようです。
対策(Loppコメント)
すべての秘密鍵を1カ所に集めたり、物理的に危険にさらされる可能性のある設定にしないようにしましょう。
対策(原コメント)
認識の弱いところであり、コメントは差し控えます。
LOPPランク4位 物理的な窃盗(PHYSICAL THEFT/ATTACK)
アンケートランク: 4位
原ランク: 3位
いわゆる強盗ですね。一般の個人であれば、滅多なことではビットコインを狙っての強盗は実際には発生しないかと思われます。
対策(Loppコメント)
ビットコインを対面で人から購入するのは気をつけましょう。不必要な注目を集めないようにしましょう。
対策(原コメント)
ビットコイン保有をアピールしない、につきると思います。
バックアップを別の場所にて保管しておくことも重要ですね。
もし盗難に遭ってしまった場合は、バックアップから別ハードウェアウォレット等に復元後すぐに資産を避難し、その後その秘密鍵は破棄すべきかと思います。
以上となります。
元記事では遺産相続問題を含め、もっと丁寧なLoppによるコメントが読めます。英語ですが是非トライしてみて下さい。ちょっと彼のサービスアピールな雰囲気が強めですが、とてもよい内容かと思います。
https://www.forbes.com/.../lopps-threat-index-analyzing.../
また、本研究所の下記コラムも関連する内容となります。合わせてご参照ください。
【2020/7/14】80BTCのセルフGOXと、リカバリーサービス体験談
大石 哲之
【2020/12/15】Casaのマルチシグレビュー
大石 哲之
【2021/3/10】12ワードが漏れると、どのくらいでコインが盗まれるのか?
大石 哲之
【2021/09/24】ビットコインの自己管理という終わりのない修行 ①②③
練木 照子
練木 照子
練木 照子
次の記事
読者になる
一緒に新しい世界を探求していきましょう。
ディスカッション