【セキュリティ】お金がもう少し増えたらハードウェアウォレットなど対策をちゃんとしたいと思っている人のために【ゆるゆる投機的行動25】

ハードウェアウォレットって、どういうのがあるの?
え~と(検索中)・・・このへんですか?


名前:くま(♂)
プロフィール:高齢子育て中、飲酒は週末のみ
特技:奥さんをフォローすること(嘘)
名前:カエル(♂)
プロフィール:ゆとり世代(さとり世代)、独身、潔癖症、シニカルな視点は世代のせい?
特技:インターネット超高速検索

正直なところ・・・資産はほとんどないし、まだめんどくさい

もちろん二段階認証とかはちゃんとやってるよ
それは基本です

関連エントリー→【セキュリティ】まずは最低限の二段階認証、Google 認証システムの落とし穴には注意!→Authyとスマホ2台持ちを検討する【ゆるゆる投機的行動24】

でも、正直なところ・・・
資産はほとんどないし、まだめんどくさいというのもある
みんなそうじゃない?
そんなユルい人はお金を盗まれても文句はいえません
だよね~
盗まれちゃヤバイ金額になったら対策するよ、さすがに(笑)
じゃあ、事前にちょっとお勉強しておきましょう

仮想通貨取引所の対策~ビットフライヤーとビットバンクの場合

これは、bitFlyer(ビットフライヤー)とビットバンクが、Coincheck(コインチェック)の事件以後にリリースした資料だね
この資料から、まずは仮想通貨取引所の対策というものをざっと理解しておきましょう
どこもちゃんとやってるんだよね・・・?
信用してますよ(不安)
ビットバンクの資料より、「仮想通貨に対する攻撃の種類とリスク」を確認しましょう

仮想通貨に対する攻撃の種類とリスク

インターネットを通じた攻撃

インターネット接続された環境は、常に攻撃者によるリスクに晒されています。秘密鍵がインターネット接続可能なデバイスに保管されている場合、攻撃者はサーバーまたはPC、スマートフォンの脆弱性を突き不正操作を行うことができる可能性があります。

攻撃者は所在を問わず不正侵入を試みることができるため、インターネット環境における秘密鍵の管理は最も脆弱です。

この点に対する対応策が、コールドウォレットです。

マルチシグを用いたホットウォレットを用いることで、ノードを分散し攻撃難度を高めることも可能です。しかしながらトランザクションの発行や署名要請を行うサーバーに不正侵入される可能性等を考慮すると、リスク低減の観点では対策として不足しています。

物理的な接触を通じた攻撃

オフライン環境においては、既に国内外でいくつかの事例もございますが、依然として強盗や脅迫、拉致、ソーシャルエンジニアリング、内部犯行等のリスクがあります。秘密鍵をハードウェアウォレットやペーパーウォレット等で管理する場合、秘密鍵またはバックアップ用パスフレーズを盗まれてしまえば、仮想通貨の移転ができてしまいます。

そのため、内部犯行の可能性やその他の攻撃に対してリスク分散を講じる必要がございます。

この点に対する対応策が、マルチシグです。

出典:bitbank.cc

やっぱコールドウォレットとマルチシグだよ
ざっくりいうと・・・
ネットに繋がっている「ホットウォレット」は危ないから「コールドウォレット」に保管する
「マルチシグ」は鍵が複数あってセキュリティが高い
ということですよね

関連エントリー→【Coincheck】コインチェックの仮想通貨NEM(XEM)不正流出問題、賢人の知恵、財団と謎の女子高生、一応の解決なのか?【ゆるゆる投機的行動23】

では、その施策について、例えば、bitFlyer(ビットフライヤー)では・・・
こちらです

セキュリティ技術や顧客資産保護への施策

また、同発表内ではセキュリティ対策についても詳しく説明されており、おおまかな内容は以下の通りになっています。

仮想通貨に関する施策

・コールドウォレット
・マルチシグ(マルチ・シグネチャ)
・自社開発のビットコインデーモン
・暗号学的に安全な擬似乱数生成器の使用
・セキュリティ上問題のないコインに限った取り扱い

セキュリティ技術に関する施策

・通信セキュリティ
・FW(ファイア・ウォール)/WAFF(ウェブ・アプリケーション・ファイアウォール)
・IP アドレス制限
・2 段階認証の推奨
・ログイン履歴の管理
インフラストラクチャーの管理

顧客資産保護に関する施策

・各種保険
・仮想通貨交換業者最大級の資本金

社内セキュリティに関する施策

・オフィスセキュリティ
・社内セキュリティ研修

出典:bitdays.jp「bitFlyer セキュリティ・ファースト主義」、及びセキュリティ・顧客資産保護に関する取り組みについて

コールドウォレットとマルチシグ以外にも、自社開発のビットコインデーモンっていうのがあるね
その他、仮想通貨特有の対策のみならず、FW(ファイア・ウォール)やIP アドレス制限など、インターネットでサービスを提供するうえでの施策ですね
保険もあるね
個人向けにも保険がこれからでてくるんじゃない?
各仮想通貨取引所が、こういう対策を・・・これからはさらに厳しく、やってくれることを期待しましょう
僕はZaif(ザイフ)を一番よく使ってるから、よろしく頼むよ

個人の対策、最近よく聞く「ハードウェアウォレット」とは?

個人の対策で最近よく聞く「ハードウェアウォレット」とは?
いやいや、以前から使った方がいいって言われてたんだけどね
今、すごい売れてるらしいですね
らしいね
物理デヴァイスによるハードウェアウォレットの活用

暗号通貨を保護するうえで重要なのは、大きな金額はハードウェアウォレット(USBメモリーのようなインターネットに接続されていない物理デヴァイス)に保管することだ。専門家は多額のコインを取引所に預けることや、スマートフォンやコンピューターのアプリに入れておくことに警鐘を鳴らしている。誰もが見られるインターネットは、悪者に侵入の機会を与えたり、不正なアクセスの許可などにつながる。

「Trezor」や「Ledger Nano S」といった安全なハードウェアウォレットの価格は100ドル未満で、設定も暗証番号とそれを忘れたときや故障の際の復元に使う「シード」(通常はアルファベットと数字の組み合わせだ)を設定するだけで簡単だ。セキュリティは非常に堅固なため、暗証番号とシードのメモは手の届くところに保管しておこう。

ただし、空き巣には見つからない場所だ。暗証番号もシードも忘れてしまったら、ハードウェアウォレットに保存された通貨を復元するのは非常に難しい。コーネル大学で分散システムと暗号を研究するエミン・ガン・サイラーは、「シードキーのバックアップを耐火金庫に入れておく」ことまで勧めている。真剣な話だ。

またそこまでしなくても、バックアップはポータブルHDDのような外部ストレージに保存しておくこともできる。ストレージデヴァイスをなくしたり、盗まれたりした場合に備えて、データは必ず暗号化しておくように。バックアップを貸金庫に預けるのもいいかもしれない。

出典:wired.jp

どれがいいんだっけ
このへんじゃないですか?


Ledger(レジャー)とか、TREZOR(トレザー)ね
しかし、購入の際は注意も必要です

メルカリでは出品中止
こういうのはトラブルが発生しそうだもんね
情報を盗もうとする偽物のあるみたいですからね・・・
さらに、使い方に関する注意喚起もあります

ファームウェアをアップデートすると、中身が消えちゃうの?
怖っ
きちんと仕様を理解して使いましょう
仮想通貨界隈は、まだまだ落とし穴が多いなあ・・・
ちなみに、ハードウェアウォレットを買わなくていい方法もあるようです

これいいかも!

やる人はここまでやる!~マナさんの場合

マナさんが個人でやっている対策凄いよ
マナ@仮想通貨さんは、「貯金1000万を仮想通貨に換えた男のブログ」の方ですね
マナさんのブログ「私が安全だと思って実践してる仮想通貨・パスワードの管理方法」より
  • Gメールなどのメジャーなメールアドレスを使わず、独自ドメイン由来の複雑な文字列のアドレスを利用する
  • パスワードは40文字英数記号の混合
  • 取引所やウォレットごとにメールアドレスとパスワードを違うものに設定する
  • 取引所には盗まれても諦めがつくだけの資産しか置かない
  • パスワードや秘密鍵はエクセルに整理して、Boxcryptorで暗号化したdropboxや、ロック付きUSBフラッシュメモリにパスワードをかけてZIP化して複数住所に保管
  • ウォレットデータ・パスフレーズデータが入ったロック付きフラッシュメモリも複数の住所に保管
  • 保存媒体の故障も考えて予備は必ず準備しておく
  • 1つのウォレットに全資産を預け入れず分散保管する
  • 外出先のWiFiを使って仮想通貨資産を触らない

↓※こちらに各項目について、詳しく書いてあります

出典:bitcoiner.link

参考になるけど・・・ぜんぶはムリ(笑)
要所要所はちゃんと見習ってください
もちろんだよ

魑魅魍魎(ちみもうりょう)が跋扈(ばっこ)するところにしか宝物はない

こういうツイッターのアンケートがありました

まあ、わかるよ
取引所にそのまま預けていた人が多数です
ある程度の資産を持って参入する人、すでに資産を増やしている人は別だよ?
でも、100万円以下で試行錯誤している人は、セキュリティより、どうやって増やすか、サービスの利便性はどうか、に意識がいくよね・・・
まあ、そうかもしれません
だって、いいかげんな自分よりも、取引所の方が少なくとも安心だろうと思っている一般人は多いと思うよ
新しい仮想通貨取引所を、既存の銀行のサービスなどと勘違いしてはいけません
それはわかるけどねえ・・・
僕なんかのように、日本の安心・安全なサービスに慣れきっている世代が、新しいリスクに挑戦するときが危ないね
自分でわかっているじゃないですか(笑)
むしろそのへんは、若い人の方が危機管理意識が高いかもしれません
あ~あ・・・
簡単に運用できる、セキュリティ管理サービスを誰か作ってくれないかなあ・・・
いずれそういうサービスも提供されるかもしれませんが、その頃には、今の仮想通貨市場のような一攫千金の夢を見る環境ではなくなっているんじゃないですか?
だよね
魑魅魍魎(ちみもうりょう)が跋扈(ばっこ)するところにしか宝物はないのかもね
まさに命がけだよ(笑)
すべてを今すぐ実行することは難しいかもしれませんが、最低限のことを実践しつつ、準備はしておくといいかもしれませんね
仕事辞めて資産運用に専念できるようになったら、パスワードももっと複雑にして、ウォレットも分散して鍵をいくつも作ったりするよ(笑)
とりあえず、自分の娘の名前とか誕生日のパスワードはやめましょうね
ドキッ・・・
ちなみにこちらトレザーのウォレット
例の事件で有名になった「JK17」こと水無凛さんのAmazonカスタマーレビューもありますよ(笑)
まじか!

↓水無凛さんのAmazonカスタマーレビュー発見!