今回は、仮想通貨取引の危険性と、それに対応すべく、本気のセキュリティ対策を考えてみました。
つい最近仮想通貨盗難の事件が起こったことで、やっとセキュリティ対策の見直し意識が芽生えてきたのではないでしょうか。
コンテンツ
二段階認証を付けていても無駄だった事例
binanceに入れてた1.5BTC盗まれました・・・・・
おわた・・・・・・— BISHI (@yamapiiiiiii_) January 11, 2018
Twitterで、ヤマpさん(@yamapiiiiiii_)が1.5BTCを盗まれたと発言。取引所はあの有名な「binance」。今年の1/12日で1.5BTCというと200万いかないぐらいでしょうか。かなりの高額です。
いつもと違うIPアドレスだと、Binanceから自動で確認とアカウント凍結の手続きメールがくるんだけど、そのメールがゴミ箱に入れられてる。
メールはyahoo使ってる。
つまりyahooIDもログインされてたってこと。もうこのパソコン使えないわ・・・・・— BISHI (@yamapiiiiiii_) January 11, 2018
「二段階認証はつけていないのか?」といったリプも飛んでいましたが、二段階認証はしっかり付けていたようです。それで盗まれるって悔しすぎますよね……。
さらに怖いのは、違うIPアドレスからログインしました、という内容のメールも、Yahooアカウントにログインされてごみ箱に入れられてたそうです。
これは悔しすぎる。
①いつもはMicrosoft edgeでログインするのですが、この時はGoogle Chromeで検索してbinanceにログイン。二段階認証が何故か二回失敗する。ログインすると所持していたコイン全てBTCに交換された後、保留状態に。
— BISHI (@yamapiiiiiii_) January 13, 2018
ちょっとした予兆はあったみたいですね。しかしこのときには既に遅かったようです。
②すぐにサポートに連絡するも返事なし。二日後保留状態のBTCが消える。
登録アドレスに送金の通知がないのはおかしいと思いメールBOXを調べ上げると、ゴミ箱にbinanceからのメールを発見。
つまりメールアカウントもハッキングされていたってこと。使っていたのはYahooのアドレス#binance#拡散希望— BISHI (@yamapiiiiiii_) January 13, 2018
Yahooのメールアドレスもハッキングに。
③コメントで多かった二段階認証してたかどうかは、やってました。それでもやられてしまったのでフィッシング詐欺かと思われますが、Yahoo IDまでやられていたのが気になる。
セキュリティソフトはノートン入れてます。— BISHI (@yamapiiiiiii_) January 13, 2018
セキュリティソフトも入れていたのにも関わらず、ですね。
④防ぐ方法としては、取引所のAPI設定を固定のIPアドレスからしかアクセスできないようにすることが有効かと思います。アクセスしてきたIPアドレスを見るとイギリスからになってました。被害届出そうにも中国の取引所でイギリスの人に奪われたとかまじカオス。
まじで天才かよ・・#Binance #拡散希望 pic.twitter.com/LrJZ5S652g— BISHI (@yamapiiiiiii_) January 13, 2018
すごいですね。二段階認証が通じないとは、あっぱれです。しかし、他にも3桁BTCを盗まれたという事例も……。
仮想通貨取引所Coinsuper(コインスーパー)のアカウント方法
仮想通貨取引の危険性
BINANCEのフィッシング詐欺で、3桁BTCを盗難されたと友人から連絡があった。。。「取引所へアクセスする時に、検索結果の広告部分は踏まない」ことを徹底
Cryptocurrency scammers are tricking users with fake Binance links on Google https://t.co/gwW3cnT5qI
— 有安 伸宏 / Nobuhiro Ariyasu (@ariyasu) January 13, 2018
仮想通貨取引は、皆さんが思う以上に危険性を秘めています。
取引所サイトはもちろんのこと、iPhone、Androidといった物理的な盗難、メールアドレスからのハッキングなど、悪意のある第三者にとって非常に攻撃しやすい状況なのではないでしょうか。
検索エンジンで、偽のサイトを正規の取引所より上位にもってくるよう仕向けるフィッシング詐欺も急増している。また「CryptoShuffler」と呼ばれるトロイの木馬が、コピー・アンド・ペーストのためにクリップボードに保存されたウォレットのアドレスを記憶することで、何千ドルもの額が盗まれるという事例もあった。
他にもこんな記事が。
報告書ではその他にも、モバイル金融プラットフォームへのマルウェア攻撃増加、IoT機器をハッキングして操作するサイバー攻撃事例などが登場するだろうと予想している。
GoogleホームなどのIoT機器のハッキング。こちらはもうハッキングされると何もかもバレてしまいますね……。
2018年、IoTやロボットといったハードウェア方面の発展が期待される中、仮想通貨を始めとするクリティカルなサイバー攻撃も盛んになりそうです。
仮想通貨は、自分の資産そのもの。本当に安全なセキュリティ対策をするには、どうすれば良いのでしょうか?
コインチェックの資産を移転せよ!各仮想通貨のおすすめ移転用ウォレット紹介
ガチの仮想通貨セキュリティ対策
※こちらで紹介する方法は、SNSデイズが独自に調査したものです。必ず正しい・セキュリティが向上することを保証するものではありません。ご了承ください。
大きな金額はハードウェアウォレットに保管
※こちらは、下に紹介するセキュリティ対策をした上での、本当に資産を守り抜きたい方へオススメの方法です。
暗号通貨を保護するうえで重要なのは、大きな金額はハードウェアウォレット(USBメモリーのようなインターネットに接続されていない物理デヴァイス)に保管することだ。
「Trezor」や「Ledger Nano S」といった安全なハードウェアウォレットの価格は100ドル未満で、設定も暗証番号とそれを忘れたときや故障の際の復元に使う「シード」(通常はアルファベットと数字の組み合わせだ)を設定するだけで簡単だ。
日本国内で言えば、ハードウェアウォレットは「Ledger」または「TREZOR(トレザー)」の二択です。
ウォレットに関する記事は別記事で紹介します。ウォレットは、PCやスマホのアプリで使用できる、「仮想通貨を入れておくためのWeb上の財布」といったイメージです。これだけでも、取引所閉鎖のリスクなどを避けることができますが、「ハードウェアウォレット」はよりセキュリティの高いものとなっております。
これ自体に仮想通貨を入れるわけではなく、ハードウェアウォレットはウォレットを開く際の「鍵」のような役割を果たします。
取引所のセキュリティ対策
By: Microsiervos
取引所のセキュリティ対策としては以下のものが考えられます。
- パスワード
- 二段階認証
- 取引所のメールアドレス
- URLはブックマーク(検索から行く場合危険)
- 送金先絞る
- IPアドレスの制限
パスワード
パスワードに関しては、15文字以上が安全エリアと言えそうです。その際、英数字・大文字小文字を織り交ぜましょう。忘れないようにしてください。
そして、もう一つの注意点は他で使用しているパスワードを使用しないこと。パスワードは基本的な注意はできているとは思いますが、取引所の登録を焦った人などは是非このタイミングで変更しておきましょう。
二段階認証
By: Samantha
二段階認証は、様々なメディア・Twitterで再三言われていることなので大丈夫とは思いますが、少し注意点があります。
機種変更の際など、機種変更の引継ぎによって二段階認証は引き継げません。そのため、以下のような対策をしてください。
- 二段階認証復旧用のパスワードをメモる
- 複数のデバイスにQRコードを読み込ませる
- もし不安であれば、復旧可能なアプリを使用する
※GoogleAUTHENTICATOR以外にも、認証アプリは存在します。そして、それらの中には二段階認証をデバイスからデバイスへ引き継げるものも存在します。
機種変更の際は、一瞬二段階認証を解除する方法も存在します。
取引所のメールアドレス
取引所のメールアドレスは、できれば他で使用していないアドレスがいいですね。または、Googleの場合、+をつけてもOKです。
例えば……。
snsdaysnomailadressdayo@gmail.com
このようなメールアドレスを持っている場合、
snsdaysnomailadressdayo+coincheck@gmail.com
@の手前に「+◯◯」と付けることによって、簡単に別アドレスが使用できます。普通に、メールアドレス入力欄に+◯◯を付けた状態で入力すれば、いつものメールボックスにメールが来ますよ!
また、理想を言えば取引所ごとにメールアドレスを変更したほうが良いです。上の+を使用する方法であれば、簡単に個別のメールアドレスが作れるので便利ですよ!
URLはブックマーク
By: medithIT
URL(ウェブサイトのホームページアドレス)について、フィッシング詐欺に注意してください。URLを使用したフィッシング詐欺は以下のような手口です。
電子メールや電子掲示板に投稿されたURLを実在するURLに見間違えるような表示にすることで誘導する手口です。
実際に、仮想通貨取引所のURLを真似てフィッシング詐欺に遭った事例が存在します。
具体的には、Googleの「BINANCE(取引所の名称)」の検索結果に似たようなURLの広告URLを出し、そこに来たユーザーに自分の情報を入力させる、といった形です。
ですから、取引所のURLは必ずブックマークしておいてください。
送金先は絞る 他
取引所によっては、コインの送金先アドレスを制限することができます。こちらもうまく活用して、不明なアドレスに送金されないようにしましょう。
また、こちらも取引所によりますが、そのアカウントにログインできるIPアドレスを制限できるものがあります。自分のネット回線のIPアドレスのみに制限できると、セキュリティが向上しますね。
ブラウザ・メールのセキュリティ対策
Webブラウザのセキュリティ対策
Webブラウザのセキュリティ対策も、しっかりと行ってください。人によっては、Chromeにパスワードを全て覚えさせている人もいるかと思います。
Chromeであれば、
- 環境設定を開き(MacであればCommand+,)
- 1番下の「詳細設定」をクリック
- 「危険なサイトからユーザーとデバイスを保護する」
- その他気になる項目にチェック
を行ってください。
仮想通貨取引のサイトのみ、パスワードを記憶させないこともセキュリティ向上には役立つと思います。
メールアドレスのセキュリティ対策
メールアカウントにも二段階認証を付けてください。これかなり重要です。
というのも、取引所に限らず、二段階認証を付けていないサイトのアカウント情報であれば、メールアカウントが割られるだけで「パスワードを忘れた方」から情報を割られてしまう可能性があるのです。
さらに、上記の事件のように、取引所からの警告メールをごみ箱に入れられる可能性も充分にあります。
仮想通貨取引を行う人であれば、全員、取引所のセキュリティだけでなく、ブラウザ、メールアカウントのセキュリティ対策も万全に行いたいところです。
スマホのセキュリティ対策
By: takao goto
また、スマホのセキュリティ対策も重要です。というのも、ほとんどの場合、スマホで二段階認証を行っているはずなので、スマホもセキュリティ対策においてかなり重要なファクターとなります。
- 指紋認証の場合、部屋に招き入れる人を選ぶ
- むやみに色んな場所で暗証番号を入力しない
- 怪しいアプリをスマホに入れない
上の点を守り、なくすこと・落とすこと・壊すことのないよう気をつけてください。
また、パスワードをスマホにメモっていたり、パスワードツールを使っている場合も、バックアップの方法を確認しておいてください。
編集後記
今回は、仮想通貨のセキュリティ対策を万全にする方法を解説しました。
とは言え、悪意あるハッカーが存在する限り、どのような対策をしても万全とは言えません。
できるだけ慎重に、ツールを選んで、安全にトレードしたいものですね!ハードウェアウォレット、一度見てみて下さい。
