【ウォレット】シークレットフレーズって何?|正しい管理方法を学んでハッキング対策をしよう!!
【ウォレット】シークレットフレーズって何?|正しい管理方法を学んでハッキング対策をしよう!!
- シークレットフレーズとは一体何?
- ランダムに選択された12〜24この単語によって構成されたフレーズ
- 暗号資産ウォレットのセキュリティ上最も重要なもの
- ウォレット新しい端末に追加する際に利用する
- ウォレットのパスワードを忘れた場合の復元手段となる
- シークレットフレーズが外部に流出した場合
- 漏れると誰でもあなたのウォレットのアクセスできしまう。
- シークレットフレーズの流出を防ぐための方法は?
- シークレットフレーズが流出する主な経路
- 漏一番多いのは”オンライン経路”での流出です。
- オンラインに接続されているサービスにメモしたフレーズが漏れる
- フレーズを開示するトランザクションを承認してしまう
- 近親者による物理的な流出(盗み見など)
- 終わりに
- シークレットフレーズを守るための必要事項
- TOPIC
- 当ブログの最新記事の紹介
暗号資産ウォレットにはそれぞれウォレットを管理したり復元したりする際に必須となる『シークレットフレーズ』というものが存在します。
ほとんどのウォレットでは初回セットアップ時にシークレットフレーズという『12〜24桁のフレーズ』を設定し、それを紙などにメモしたのち再入力するという作業が必要となります。
実はその時にメモしたシークレットフレーズはウォレットのセキュリティ上最も重要なものでして、このフレーズが外部に流出してしまうと誰でもあなたのウォレットに接続して資産の管理を行う事が可能となってしまいます。
つまり、あなたのウォレットはハッキングされ資産が抜き取られるということです。
暗号資産ウォレットのシークレットフレーズはウォレットのセキュリティの要であるため、絶対に外部に流出させるような事があってはなりません。
まずは、シークレットフレーズがどのような時に利用されるのかを把握してどれだけ重要なものなのかを理解していきましょう。
- ウォレット新しい端末に追加する際に利用する
- ウォレットのパスワードを忘れた場合の復元手段となる
シークレットフレーズは『ウォレットを新しい端末にインポート』する際に利用します。
もしあなたが『”iPhone版のMetaMask”を利用している場合で”PC版MetaMask”で同じアカウントを利用できるようにたい』としましょう。
この場合は『iPhone版のMetaMaskないでシークレットフレーズを表示させPC版MetaMaskで再入力する』手順が必要となります。
つまりシークレットフレーズさえ把握していれば、どの端末でもウォレットをインポートする事が可能なのです。
シークレットフレーズは『ウォレットの復旧手段』となり得ます。
MetaMask等のウォレットにはシークレットフレーズの他にも『ログイン用パスワード』が存在します(スマホのロック解除のようなもの)。
通常であれば『ログインパスワードだけを管理』しておけば特に問題はないのですが、時としてログインパスワードが不明な状態になってしまうこともあります。
そのような時に先ほど紹介した『①ウォレット新しい端末に追加する際に利用する』と同じ原理でウォレットを再インポート数ことになります。
シークレットフレーズが外部に流出してしまった場合には『誰でもあなたのウォレットにアクセスできる』ようになってしまいます。
例えるならば『自宅の位置が知られている状態で自宅の鍵をばら撒いているような状態』ですね。
もしオンライン上、特に『X/Twitter』などに公開してしまった場合には悪意のある第三者の目にとまり、一瞬で貴方のウォレットにアクセスが集まり資産を抜き取られるでしょう。
シークレットフレーズの外部への流出を抑えるために最も確実な方法は、
『丈夫な紙に時間経過で消えないインクでメモを行い、メモを金庫に入れて誰にもパスワードを教えない』というものです。
簡単にまとめますと『オフライン環境で現状に保管する』ということですね。
スマートフォンやPCのデバイス内で『電子データ』として保管してしまうと、最悪の場合だとワンクリックでオンライン上にシークレットフレーズが流出されてしまうリスクがあります。
”自分は大丈夫だ”と思っている人でもケアレスミスで意図しない流出を招いてしまう可能性も十分にあります。
『オフライン環境で現状に保管する』ということは人間の不注意によるケアレスミスによるリスクを最小限に抑えてくれるため最も安全な方法であると言えます。
- シークレットフレーズをオフラインで管理する(紙にメモして金庫で保管)
- 厳重なセキュリティを持つパスワード管理ソフトを利用(オススメはしない)
- 共有が容易な状態で保管してしまう(メモアプリやPDFテキスト等)
- ウォレットのセットアップを第三者に任せる(記憶されたら終わり)
シークレットフレーズの流出のほとんどはオンライン上への流出です。
厄介なことに大抵の場合本人は流出したことに気づくことはなく、ハッキングされ資産を失ったときにシークレットフレーズの流出が判明することがほとんどです。
続いてはシークレットフレーズが流出する経路のご紹介をしていきましょう。
- オンラインに接続されているサービスにメモしたフレーズが漏れる
- フレーズを開示するトランザクションを承認してしまう
- 近親者による物理的な流出(盗み見など)
シークレットフレーズを『メモ帳』や『写真フォルダ』等のオンラインに接続された環境で保管すると意図しない流出が生じるリスクがあります。
例えば『メモアプリが実は友達と共有されていた』などの設定になっていれば簡単に外部に流出しますし、SNS上に間違えてシークレットフレーズが記載されているスクリーンショットを投稿して仕舞えば一発アウトです。
また、悪意のあるサイトに『自らシークレットフレーズを入力してしまう』という事例も存在します。
まともなサービスであればシークレットフレーズの入力をすることは一切ないので、シークレットフレーズを要求された際は速やかにブラウザバックをしてください。
- メモアプリで保管する
- スクリーンショットで保管する
- SNS等で公開する
- 詐欺サイト自らシークレットフレーズを入力してしまう
2つ目は『フレーズを開示するトランザクションを承認してしまう』というものです。
これは『NFT』や『偽サイト』等でよくあることなのですが、シークレットフレーズを抜き取る悪意のあるプログラムをトランザクションに組み込む手口が存在します。
Web3にある程度慣れてくると『トランザクションを承認する』という行為にも慣れてきますので、自然流れで承認を求められたらつい流れで承認してしまいがちなのですが、ここに落とし穴があります。
もしかしたら貴方が承認したのは『シークレットフレーズを公開する』という悪意のあるものである可能性があるためです。
このような悪意のあるトランザクションは基本的に『NFT』や『詐欺サイト』などに組み込んでありますので、『いつの間にかウォレット内にあるNFT』や『怪しいサイト』でトランザクションを求められても絶対に承認しないようにしましょう。
- NFTに悪意のあるプログラムを組み込む
- 詐欺サイト(偽サイト)でトランザクションを要求
最後に紹介するのは『身近な人物によるシークレットフレーズの盗み見』です。
例えば『シークレットフレーズをメモしている紙を盗まれる』もしくは『盗み見られる』などの行為ですね。
特に『ウォレットのセットアップを他人に任せる人』や『フレーズが書かれているメモ帳等を常に持ち歩いている人』は特に注意が必要です。
理由は解説するまでもないとは思いますが、極力自分以外の他人がシークレットフレーズを見る機会をゼロにする事が好ましいです。
いちばんの対策は、暗号資産投資をしていることを週に公開しないことですね。
暗号資産投資をしていることを周囲に知らせると変な人が寄ってくる確率が高くなりますからね。
- ウォレットの作成を第三者に委ねる(メモられたら終わり)
- フレーズをメモしてある紙を奪われる(常に持ち歩くのはNG)
暗号資産のシークレットフレーズとは、ランダムに選択された12〜24この単語によって構成されたフレーズでしてウォレットのセキュリティ面で最重要項目です。
基本的にはシークレットフレーズが外部に漏れた場合には資産を抜き取られる確率がかなり高くなるため、厳重に保管する必要があります。
オフラインでの保管や、第三者を疑う等の最新の注意を払って保管をするようにしましょう!!
最後に『今回のまとめ』と『シークレットフレーズを安全に管理する方法』についてまとめていきましょう。
今回のまとめ
1.シークレットフレーズの用途
- ウォレット新しい端末に追加する際に利用する
- ウォレットのパスワードを忘れた場合の復元手段となる
2.シークレットフレーズ流出したらどうなる?
- 誰でも貴方のウォレットの接続する事ができる。
- 接続に成功すれば資産を抜き取る事ができる
3.シークレットフレーズが流出する経路は?
- オンラインに接続されているサービスにメモしたフレーズが漏れる
- フレーズを開示するトランザクションを承認してしまう
4.シークレットフレーズを守る方法
- シークレットフレーズはオフライン下で保存する
- シークレットフレーズが記載されているメモ用紙は持ち歩かない
- 暗号資産を保持していることを周囲に公言しない
- 暗号資産ウォレットのセットアップを他人に任せない
- 偽サイトにウォレットを接続しない
- 怪しいトランザクションを求められたらブラウザバック
上記の内容を徹底しておけば大抵のリスクに備えることはできると思いますが、人間である以上ミスする事が必ずあります。
少しでもウォレットの利用時に違和感があれば『別のウォレット』や『暗号資産取引所』とうに資産を避難させるようにしましょう。
また、今後全く新しい手段でシークレットフレーズを盗む方法が見つかる可能性もありますので常に詐欺の手口を学び続ける姿勢というのもかなり大切です。
おまけ:コールドウォレットであれば安全に保管ができる
今回の記事のような話を聞いてしまうと暗号資産ウォレットの利用に抵抗を覚えてしまう方も多いと思います。
そのような方は『コールドウォレット』というオフライン環境下で暗号資産を保管できるウォレットの利用をオススメします。
コールドウォレットとは?
デバイス型のウォレットでインターネットから切り離して暗号資産保管できるウォレット。
仕組みとしては『普段はオフライン状態で暗号資産を保管し、送金時などの場合にのみオンライに接続する』という仕組みを採用しています。
オフライン時には外部からのハッキングリスクがゼロになるため。個人で暗号資産を保管する上で最も安全な方法として暗号資産投資家からは一定の信頼を得ています。
コールドウォレットには様々な種類があるのですが、個人的には『Ledger社』が販売しているコールドウォレットシリーズがオススメです。
日本語でのサポートも充実しているだけでなく、国内位に利用者が多くいるため操作面で困った際にも解決策を簡単に探し出す事ができます。
詳しくは以下の記事でご紹介していますのでぜひ参考にしてみてください。