セキュリティ・ベストプラクティス

　　・暗号通貨の最終責任者はユーザー自身

　　・紛失や盗難から守るべきもの

　　・ベストプラクティス

　　暗号通貨を紛失や盗難から守る方法を知らなければ、全ての努力や価値も無駄になります。

　　保管権を戻る

　　保管とは、暗号通貨を管理するための重要な情報である秘密鍵またはシードに対する責任をどのように管理するかということです。

　　暗号通貨は銀行のような中央機関なしで運営されているため、保有しているということは所有していることです。

　　保管とは、これらの鍵の最終的な責任を取るための2つの選択肢を指すだけで：自分で全責任を負うか、他の人に任せるか。

　　データの損失/アクセスの詳細

　　取引所やモバイル口座に暗号通貨を預ける場合、最も重要なのは、そのサービスにアクセスするための詳細情報を忘れないことです。

　　最初の例では、ユーザー名とパスワードを安全に保存するために適切な措置を講じる必要があります。GoogleアカウントやLastPassなど、他のサービスを通じてこれらの情報を保存している場合、それが弱点となります。

　　また、出金の承認やセキュリティの設定など、重要な操作を行う際には、ユーザーの電子メールアドレスへのアクセスを必要とするケースが多いので、これらのアクセス情報を忘れないようにご注意ください。その他、重要なアクセスリンクとなるのが、「To」です。

　　非保護の選択肢、つまりDIYアプローチを選ぶ場合、失われたアクセス情報は、直接的に秘密鍵またはシードに関連します。

　　秘密鍵やシードは常にバックアップし、適切なセキュリティ対策を講じた上で、できればオフラインで別の場所に保管してください。

　　ハードウォレット（ウォレット全般についてはこちら）を使用している場合、ダッシュボードサービス（例：Ledger Live）のクレデンシャル、デバイスにアクセスするためのピン、シードなど、いくつかのセキュリティ層と弱点を持っている可能性があります。このうち、シードは最も重要で、万が一失敗した場合、コインを回収できるようになります。

　　シードを守る究極の方法は、耐食性、耐熱性、耐圧力性のある金属にフレーズを刻むことです。有名なビットコインのエバンジェリストであるJameson Lopp氏は、最高の金属製シードストレージ彫刻オプションに対して、素晴らしいレビューをしました。もちろん、その金属の彫刻自体も安全な場所に保管する必要があります。

　　フィッシング

　　フィッシングへの対策は、オンラインサービスを利用する際に、十分に注意しておくべきことです。フィッシングとは、ユーザーをだまして悪質なソフトウェアをダウンロードさせ、コンピュータを危険にさらしたり、ユーザーの個人情報を収集し、資金やデータにアクセスする偽装サイトのことを指します。

　　これは、フィッシングメールや偽のウェブサイトで有名なカストディサービスに関連するものですが、カストディ以外も例外ではありません。

　　人気のあるハードウォレットのメーカーであるLedgerは、2020年7月に電子メールアドレスを含む顧客情報のデータベースがハッキングされ、その後、顧客はフィッシングのターゲットとなりました。

　　また、ブラウザベースのサービスでは、偽のウェブサイトを利用し、マルウェアをダウンロードさせ、個人情報を盗み出すという手口が多く見られます。

　　電子メールによるフィッシングを防ぐために

　　・ Protonmailのような暗号化されたメールサービスを使用し、重要なサービスのみに使用する。

　　・ メールが本物かどうかわからない場合は、目に見える送信者名だけでなく、実際の送信元アドレスを確認してください。

　　・ 本物のサービスでは、通常、お客様のお名前が記載されますが、フィッシングメールでは記載されません。

　　・ フィッシングメールの内容は、ひどい文章か不十分な書式です。

　　総当たり攻撃

　　これは、誰かのパスワードを窃取しようとする最も古く、最も分かりやすいテクニックの1つで、パスワードの選択肢を切り換えるソフトウェアを実行することです。これは、OSINT（オープンソースインテリジェンス）から得たユーザーに関する情報と組み合わせて使用することができます。

　　このような脅威を抑えるには、二要素認証（2FA）を使用するのが一番です。つまり別のソース（通常は携帯電話）から詳細なアクセスを行う二次レイヤーを使用することです。

　　まともな取引所であれば、2FAの使用を強制するか強く推奨していますが、次のテーマで説明するように、2FAにテキストを使用しないようにすることが重要です。

　　最も一般的な2FAプロバイダーは、Google AuthenticatorとAuthyの2つです。

　　SMSハイジャック

　　カスタマーサービスにおける2FAの利用を推奨してきましたが、2FAにSMSを選択すると、SMSハイジャックのリスクが生じることにも注意して下さい。

　　ハッカーが携帯電話番号とプロバイダを知り、OSINTから個人情報を収集した場合、携帯電話サービスプロバイダに利用者になりすまし、代替SIMの送付を要求することが可能になります。

　　これにより、ハッカーは2FAコードにアクセスすることができ、ブルートフォース攻撃と組み合わせて使用することができます。

　　解決策としては、Google AuthenticatorやAuthyのようなアプリベースの2FAを常に使用することです。携帯電話を紛失した人ならわかるように、アプリを実行しているデバイス自体が弱点になります。

　　これは、2FAを設定するときに提供される2FAバックアップコードを保存することで回避できます。2FAバックアップがなければ、2FAリセットを取得するには、いくつかのIDと手書きのメモで自撮り、ビデオを記録する手間のかかるプロセスを通過する必要があります。

　　Googleは2020年5月、3年ぶりにAuthenticatorをアップデートし、それにより2FAコードのエクスポート/インポートが簡単にできるようになったのですが、携帯電話を紛失したり、壊れたりした場合には役に立ちません。

　　DNSスプーフィング

　　2020年11月、人気の暗号通貨サービスCelsiusがDNS攻撃による被害を受けました。この攻撃は、攻撃者がDNSプロバイダーであるGodaddyを説得し、Appの背後に提供されるサイトを実質的に変更させるというものでした。

　　これは、警戒を怠らないこと、あるいはセルシオの場合、DNSの設定をどれだけ真剣に扱っているかでサービスの安全性を判断すること以外に、軽減することは困難です。

　　個人攻撃

　　この問題を最後に取り上げたのは、大量の暗号通貨を持っている場合のみ懸念されるからです。まれに、大量の暗号通貨を所有していることが知られている個人が、その資金にアクセスするために誘拐されたり、強制的に移動させられたりする事例があります。

　　前述のLedger攻撃では、顧客の郵便番号が流出したため、この危険性について怒った顧客からSNSで話題になりました。しかし、オンラインに比べればはるかにリスクが高いため、実際に対面して攻撃された例は報告されていません。

　　このようなリスクは、高価な時計や宝石、収集品など、持ち運びできる資産が関係するあらゆる状況に存在しますが、暗号通貨は保険がかけにくく、追跡・復元が困難なため、ターゲットとされています。

　　もしこれが気になるようであれば、まず暗号通貨を所有しているという事実を公表しないことです。これは、オンライン上や明確に信頼していない人との間でも同様です。

　　また、マルチシグネチャと呼ばれる、暗号通貨トランザクションを承認するために複数の人を必要とする方法についても考えておく必要があります。

　　これは、正当な否認権を与えるもので、費用対効果の高いマルチシグネチャーのセキュリティ・サービスとしては、keys.casaをチェックしてみてください。

　　暗号通貨について学び、投資することは、あらゆる場面で非常に有益な体験となります。しかし、銀行などの統制機関を自分の金融生活から切り離した場合、最終的な責任は自分自身にあるため、少なくとも暗号通貨を安全に保ち、夜間安心して眠れるようにするためのベストプラクティスを知っておく必要があるのです。