こんにちは、りもるです。
今回は、仮想通貨投資をしている人に向けて、MyEtherWalletのサイトで推奨されていた、仮想通貨をハッキングで盗まれないためにすべき20のことを紹介します。
意訳記事なので、より正確性を求められる方は原文を確認してみてください。
Protecting Yourself and Your Funds
目次
- 1 Ledger Nano SまたはTREZORなどのハードウェアウォレットを利用
- 2 仮想通貨関連サイトをブックマーク
- 3 EALまたはメタマスクなどのChrome拡張機能をインストール
- 4 MEWローカル/オフラインを使用
- 5 プライベートメッセージのメッセージ、アドレス、URLを信用しない
- 6 すべてに2段階認証を設定
- 7 トークンセールの場合:公式サイトに掲載されているアドレス以外は信用しない
- 8 URLをダブルチェック、Github URLはトリプルチェック
- 9 開いたサイトが本物であることを常に確認
- 10 サービス名+「詐欺」または「レビュー」でググる
- 11 リモートアクセスソフトウェア(例えばTeamViewerなど)は実行しない
- 12 ブレインウォレットを使用しない
- 13 Google / Bing Adsを無効にする広告ブロッカーをインストール
- 14 広告をクリックしない
- 15 誤って悪質なサイトを訪問したり入力した場合は最近の履歴と自動補完を削除
- 16 誰もあなたに無料または割引でETHをくれない
- 17 トークンセール終了後にSlack DMでトークンを買わない
- 18 MEW Chrome拡張機能をダウンロード
- 19 トランザクションを送信したいときだけウォレットのロックを解除
- 20 最後に:頭を使う
Ledger Nano SまたはTREZORなどのハードウェアウォレットを利用
BTC、ETH、その他多くの仮想通貨を保管する最も安全で簡単な方法の1つは、Ledger Nano SまたはTREZORです。どちらもハードウェアウォレットで秘密鍵をオフラインで安全に管理できます。
- Ledger Nano S(レジャーナノS)
- TREZOR(トレザー)
もしこれらのデバイスを使用したくない場合は、コールドストレージ(英語)を使用してください。
仮想通貨関連サイトをブックマーク
フィッシングサイトに騙されることを防ぐため、仮想通貨取引所/販売所サイトやウォレットサイトなどの仮想通貨関連サイトはブックマークします。その後、サイトに行きたい場合はブックマークを使用してサイトへ飛びます。
EALまたはメタマスクなどのChrome拡張機能をインストール
EALやメタマスクなどの拡張機能をブラウザにインストールしておくことで、仮想通貨のフィッシングサイトに行った場合に偽サイトだと警告してくれます。ChromeのWebストアからブラウザに拡張機能をインストールしておきましょう。
少し前にHitBTCの偽サイトが話題になりましたが、まだ「HitBTC」と検索した時偽サイトが検索されます。以前と同じでアドレスは同じですが「h」の下に小さな点がついています。注意が必要です。リスクを減らすにはgoogle chromeにメタマスクを使わなくてもインストールすると警告が出ます。便利ですよ! pic.twitter.com/6XlJSPlCM3
— みやび(仮想通貨 / BIメンバー) (@businessinfinty) 2018年5月5日
MEWローカル/オフラインを使用
MyEtherWalletなどのウォレットはローカル版がありインターネットに接続しないオフラインで利用することができます。
ネットに接続したPCから最新版をダウンロードしUSBに入れたあと、そのUSBをオフラインのPCにつなぎウォレットを作成することより安全にウォレットが使えるようになります。
プライベートメッセージのメッセージ、アドレス、URLを信用しない
個人間メッセージで記載されている、仮想通貨、お金、銀行取引、Dropbox/Googleドライブ/ Gmailなどのサービスに関するリンクをクリックしないようにしましょう。
また、クリックベイト詐欺(ユーザーの興味を引いてクリックさせたり誘導先ページの閲覧数増加のために、記事の内容と異なるレベルで煽るようなタイトルを付ける手法)で誘導されたサイトにどんな情報も入力しないでください。
メッセージ経由で飛ばされたWebサイトに、秘密鍵、パスワード、機密データを入力しないよう気をつけてください。
すべてに2段階認証を設定
2段階認証を設定できるものには2段階認証をすぐに設定しましょう。2段階認証の設定にはAuthyよりGoogle Authenticatorを選択してください。
電話番号は使用しないでください。そして、電話番号がGoogleアカウントに関連付けられていないことを確認してください。あなたの永遠の友達であるMr.ハッカーは、その番号を使ってあなたのアカウントへのアクセスを復元でき、2段階認証を完全に破棄するでしょう。
PS:MyEtherWalletはクライアント側です。つまり、2段階認証はMyEtherWalletの場合は何もしません。2段階認証はサーバー上のパスワードのセキュリティを保証するためのものです。
PSS:これら2段階認証に対して、バックアップワードをコールドストレージすることを忘れないでください。あなたの携帯電話が水没して、あなたの人生が2段階認証されたら大きな痛手です。
トークンセールの場合:公式サイトに掲載されているアドレス以外は信用しない
セール前にURLをブックマークし、購入時にはブックマークからURLを取得します。他のソース(特にSlackのランダムボット)を信用しないでください。
URLをダブルチェック、Github URLはトリプルチェック
まずURLをチェックし、情報を入力する前に再度URLを確認してください。ユーザー名、パスワード、メールアドレス、秘密鍵、その他個人情報が必要なサイトで特に重要です。
SSL証明書はサイトが信頼できると意味しているものではなく、単にSSL証明書が購入されたことを意味します。正しいURLが不明な場合は、Reddit、Twitter、Github、Slackなどのプロジェクト公式を相互参照してみてください。
GithubのURL(*Githubは簡単にWebサイトを公開できます)はより偽造しやすくミスしやすいです。RedditでランダムなURLからダウンロードする代わりに、あなた自身でURLを探してください。TwitterでGithubリポジトリの開発者をフォローしたり、Redditで彼らと友達になるなども方法です。
開いたサイトが本物であることを常に確認
特にあなたが秘密鍵を入力したりアプリケーションをダウンロードしようとしている場合気をつけてください。
本物とは何ですか?
人々が良い結果とともにまともな期間使われているサービスです。URLが先週登録されている場合、または「開始されたばかりの」サイトの場合は、慎重になりしばらくの間それを避けてください。
サービス名+「詐欺」または「レビュー」でググる
詐欺サイトはめったに長続きしません。いろんなブログ上のリアルな人々によるリアルなコメントを見極めてください。また単一情報源上の情報の集積を見極めてください。
本物のサービスは長期間にわたり肯定的な評価と否定的な評価が混在する可能性が高いことを理解してください。
詐欺サイトは、一般的に誰も話さないか、どうやってだまされたかについて大声で叫ばれているか、または最も完璧なレビューがあります。最後のものは最初のものと同じくらい危険です。
リモートアクセスソフトウェア(例えばTeamViewerなど)は実行しない
特に鍵を持つコンピュータ上でリモートアクセスソフトウェアを実行しないでください。これらのプログラムのセキュリティホールの数はひどいです。
あなたは人生全体を2段階認証にしますが、これらを使うと文字列の1文字でコンピュータ全体およびすべてのあなたのアカウントにアクセスできる可能性があります。
ブレインウォレットを使用しない
ブレインウォレットは、鍵があなたが選んだ単語やフレーズから生じたウォレットです。
人間の脳には高エントロピーのseed(ウォレットのマスターキーとなる12個の英単語)を作る能力がありません。たとえあなたが「珍しい」または「ランダム」だと思うフレーズを使ったとしても、MyEtherWalletのランダム性ほど安全ではありません。
これらのフレーズは何百万ものブルートフォース攻撃(総当たり攻撃)にさらされる可能性があります。
Google / Bing Adsを無効にする広告ブロッカーをインストール
ブラウザの拡張機能として広告ブロックの拡張機能を利用しましょう。uBlock Orginをおすすめします。
既にAdblock Plusを使用している場合は、Google広告を隠すことはありません。Adblock Plusの設定に行き、「控えめな広告を許可する(Allow some non-intrusive advertising)」というチェックボックスをオフにします。
広告をクリックしない
広告ブロッカーの有無にかかわらず決して広告をクリックしないようにしましょう。
誤って悪質なサイトを訪問したり入力した場合は最近の履歴と自動補完を削除
自動補完(オートコンプリート)というのは、キーボード入力履歴を活用して、ユーザーが入力したい単語の冒頭の文字を入れると、入力履歴から冒頭の文字が一致するものを候補として一覧で表示してくれる機能です。
Google Chromeなどのブラウザの機能として用意されています。その履歴を削除する場合は、ブラウザの設定からオートコンプリート履歴を削除します。
これにより、kraと入力して、それを悪意のあるkrakken.com(本物のサイトはkraken.com)に自動補完することができなくなります。
誰もあなたに無料または割引でETHをくれない
Twitterなどでよくあるのですが、偽のプロジェクト公式アカウントが、ETHを送れば何倍ものETHを返金しますとツイートしたりしています。
常識的に考えて、割引でましてや無料でETHをもらえることはないのでだまされないようにしましょう。もし仮にアンケートの報酬だと謳っていても注意が必要です。
トークンセール終了後にSlack DMでトークンを買わない
Slackは仮想通貨プロジェクトの運営がよく使うチャットサービスです。そのSlackのダイレクトメールでは運営を装った詐欺が非常に多いです。
「ICOは終了したが特別プランがある」だったり、「エアドロップを受けとるために登録をしてください」などといったDMが来たりします。そしてそのDMであなたのイーサリアムウォレットの秘密鍵を入力させるように誘導してきます。
間違っても秘密鍵含め個人情報などを入力しないようにしましょう。
MEW Chrome拡張機能をダウンロード
MyEtherWalletのGoogle Chrome拡張機能をダウンロードしてください。
トランザクションを送信したいときだけウォレットのロックを解除
ウォレットで取引後、Etherscan、Ethplorerで残高を確認してください。
最後に:頭を使う
一瞬考えてみてください。推測しないで尋ねてください。盲目的にフォローしないで疑問をもってください。
何かが正しいように見えないなら…もし地球上で最も幸運だと感じるなら…もしあなたが”なぜこれをRedditで見たことがないのだろう”と思うなら、理由があるでしょう。
コメント