セキュリティのベストプラクティス
学べること
暗号通貨の使用方法に関する一連の記事のこの段階に到達した場合は、かなりの時間を投資し、できれば資金の一部を投資したことになります。学んだことを実践し、独自の暗号通貨を所有します。
暗号通貨を紛失や盗難から守る方法を知らなければ、その努力と潜在的な価値はすべて無駄になってしまいます。それについてこの記事ではこれから説明します。
監護権の概念に戻る
このセクションの最初の記事を読んでいると、暗号通貨の所有権の中心となるカストディの概念についてよく理解できるでしょう。カストディとは、暗号通貨の制御を可能にする 1 つの重要な情報、つまり秘密キーまたはシードに対する責任を管理する方法を指します。
暗号通貨は銀行のような中央機関なしで機能するため、所有は所有権であり、要約すると、あなたが学ぶことができる最も重要な考え方の 1 つになります。「鍵ではなく、コインではない」
カストディとは、単にこれらのキーの最終的な責任に関する 2 つのオプションを指します。自分自身で全責任を負うことも、他の人に責任を負わせることもできます。
保管と非保管の 2 つのオプションに特有の紛失と盗難の脅威を理解した上で、どちらのオプションが自分にとって最適であるかを決定するのはあなた次第です。
あなたの決定は、あなたが所有する仮想通貨の量にも依存し、それはそのセキュリティに対する潜在的なリスクの重大度にも関係します。
| 脅威 | 保管または非保管に関連する |
| データの損失/アクセスの詳細 | 両方 |
| フィッシング | 両方 |
| ブルートフォース攻撃 | 保管 |
| SMSハイジャック | 保管 |
| DNSスプーフィング | 両方 |
| 対人攻撃 | 非保管者 |
データの損失/アクセスの詳細
取引所またはモバイルウォレットに暗号通貨を保管させることにした場合、最も明らかな失敗点は、そのサービスへのアクセスを可能にする詳細を忘れることです。
まず、これはユーザー名とパスワードを意味します。これらは強力で一意なものとし、安全に保存するために適切な措置を講じる必要があります。これらの資格情報を Google アカウントや LastPass などの別のサービスを通じて保存すると、それが弱点となります。
さらに、引き出しの承認や他のセキュリティ機能の設定などの主要なアクションを承認するには、通常、電子メール アドレスへのアクセスが必要となるため、アクセスの詳細を覚えておくようにしてください。これは、アクセスのもう 1 つの重要な層です。
非管理オプション、つまり DIY アプローチを選択した場合、アクセス詳細の損失は秘密キーまたはシードに直接関係します。彼のことをまだ聞いたことがない方のために、ジェームズ・ハウエルズ氏は、失われたビットコインの財産に関するブログ記事で強調されている、この最も極端な例の 1 つを紹介しています。
秘密キーまたはシードは必ずバックアップしてください。当然、適切なセキュリティ対策を講じ、別の場所 (できればオフライン) に保管してください。紙などの傷みやすいものや腐敗しやすいものは使用しないでください。
ハード ウォレットを使用する場合 (ウォレット全般について詳しくは こちら)、ダッシュボード サービス (Ledger Live など) の資格情報、デバイスとシードにアクセスするための PIN など、セキュリティと弱点がいくつかある可能性があります。このうち、シードが最も重要であり、他のすべてが失敗した場合にコインを取り戻すことができます。
シードを保護するための究極の解決策は、耐腐食性、耐熱性、耐圧性のある金属にフレーズを彫刻することです。有名なビットコインのエバンジェリストであるジェイムソン・ロップは、最高の金属シードストレージ彫刻オプションに関する素晴らしいレビューを作成しました。
もちろん、その金属彫刻を安全な場所に保管し、金貨 (またはビットコイン) がどこかで停止する必要があることを示す必要があります。
フィッシング
フィッシングに対する防御は、オンライン サービスを使用する際にすでに警戒しているはずです。これは、ユーザーをだまして悪意のあるソフトウェアをダウンロードさせてコンピュータを侵害したり、なりすましサイトをダウンロードさせてユーザーの詳細情報を収集して資金やデータにアクセスさせたりする試みを指します。
これは、フィッシングメールや偽の Web サイトが非常に一般的である保管サービスに特に関係しますが、非保管オプションも影響を受けません。
人気のハードウォレットのメーカーであるレジャーは、2020年7月に電子メールアドレスを含む顧客詳細のデータベースがハッキングされた。それらの顧客はフィッシングの標的になりました。
同様に、ブラウザベースのサービスも偽 Web サイトの標的になることが多く、ユーザーをだまして収穫の詳細を示すマルウェアをダウンロードさせます。
電子メール フィッシングを防ぐには:
ブルートフォース攻撃
これは、パスワード オプションを次々と変更するソフトウェアを実行して、誰かのパスワードを盗もうとするための最も古く、最も明白な手法の 1 つです。これは、OSINT (Open Source Intelligence) から得られるユーザーに関する既知の情報と組み合わせて使用できます。
この種の脅威を軽減する最善の方法は、別のソース (通常は携帯電話) からのアクセス詳細の 2 番目のレイヤーである 2 要素認証 (2FA) を使用することです。
まともなやりとりは 2FA の使用を強制するか、強く奨励しますが、次の主題で説明するように、2FA にテキストの使用を避けることが重要です。
最も一般的な 2 つの 2FA プロバイダーは、Google Authenticator または Authy です。
SMSハイジャック
保管サービスの標準として 2FA の使用を奨励したばかりですが、2FA として SMS を選択すると、SMS ハイジャックによって深刻な脆弱性が生じる可能性があることを警告する必要があります。
攻撃者があなたの携帯電話番号とプロバイダーを知っていて、OSINT から個人情報を収集した場合、モバイル サービス プロバイダーになりすまして、交換用 SIM の送付を要求する可能性があります。
これにより、ブルート フォース攻撃と組み合わせて使用される 2FA コードにアクセスできるようになります。
解決策は、Google Authenticator や Authy などのアプリベースの 2FA を常に使用することです。携帯電話を紛失した人なら誰でもわかるように、アプリを実行しているデバイス自体が弱点になります。
これは、2FA のセットアップ時に提供される 2FA バックアップ コードを保存することで回避できます。 2FA バックアップがない場合、2FA リセットを行うには、ID と手書きのメモを使用してセルフィー/ビデオを録画するという面倒なプロセスを実行する必要があります。
Google は 2020 年 5 月に Authenticator を 3 年ぶりに更新し、2FA コードのエクスポート/インポートが簡単になりました。これは歓迎ですが、携帯電話を紛失したり故障した場合には役に立ちません。
DNSスプーフィング
2020 年 11 月、人気の暗号化サービスであるセルシウスは DNS 攻撃の被害者になりました。この攻撃では、攻撃者が DNS プロバイダーである Godaddy を説得して、アプリの背後でサービスを提供するサイトを実質的に変更するよう説得しました。
これは、警戒するか、セルシウス社が DNS 設定をどれだけ真剣に扱うかによってサービスの安全性を判断する以外に軽減するのは困難です。
対人攻撃
本当に大量の暗号資産を持っている場合にのみ問題になるはずなので、これは最後まで残しておきます。まれに、大量の暗号通貨を所有していることが知られている個人が、その資金へのアクセスを与えるために誘拐/恐喝される例があります。
前述のレジャー攻撃では顧客の住所が漏洩したため、激怒した顧客によるこの危険性についてソーシャル メディアで多くの話題になりました。ただし、リストされているオンライン オプションよりもはるかに危険であるため、実際に対人攻撃が行われた例は報告されていません。
このリスクは、高価な時計、宝飾品、収集品など、携帯資産が関係するあらゆる状況に存在しますが、仮想通貨は保険が難しく、追跡/回収が難しいため、特に標的となります。
これがあなたにとって懸念のあることである場合は、まず、オンラインのどこにいても、明示的に信頼していない相手でも、暗号通貨を所有しているという事実を公表しないでください。
また、基本的に暗号通貨トランザクションの承認に複数の人が必要となるマルチシグネチャと呼ばれるものについても考慮する必要があります。
これにより、もっともらしい否定が可能になります。費用対効果の高いマルチシグ セキュリティ サービスについては、 keys.casaをチェックしてください。
暗号通貨について学び、投資することは、非常に自由な経験となる可能性があります。これは金融主権の表現ですが、銀行などの権威を自分の経済生活から切り離す場合、最終的には自分が責任を負うことになるため、少なくとも自分の暗号通貨を安全に保ち、確実に暗号通貨を保護するためのベストプラクティスを認識する必要があります。夜はゆっくり眠れます。