仮想通貨(暗号資産)・NFTはまだ新しい技術なので、詐欺やハッキングが日常的に起きています。しかし資産を守る方法をわかりやすくまとめている情報は少ないです...
そこで今回は、2017年から仮想通貨投資をしている筆者が実践している詐欺・ハッキング対策を事例や図解とともに12個紹介。
なぜその対策が有効なのか、背景まで初心者向けに解説しています。読むだけで暗号資産の防御力が上がること間違いなしですよ。
- 2017年〜仮想通貨投資家
- NFT資産額は約700万円
- Defiで200万円ほど運用
- 資産運用とブログで生活
ハッキングされる前提でMetaMaskを使う
仮想通貨やNFTの詐欺・ハッキングは日々新しい手法が生まれ、数年前から仮想通貨をさわっている人でも被害にあっています。
MetaMaskのハッキングは交通事故のようなもの。自分に落ち度がなくても起こると考えて行動するのが重要です。
これから紹介する12個の詐欺・ハッキング対策は少しハードルが高いものもありますが、できれば全て実践するのがおすすめです。
MetaMaskの詐欺・ハッキング対策12選
ぼくが実践しているMetaMaskの詐欺・ハッキング対策を12個紹介します。
- シードフレーズ・秘密鍵はオフライン保管
- ウォレットに入れる資金は最低限(こまめな送金でもBITPointなら手数料0円)
- よくわからないTwitterのDM・リプは無視、DiscordのDMはブロック
- 自宅ネットワーク以外でウォレットをさわらない(外でさわるならVPN利用)
- サービスのURLやNFT探しは公式のサイト・Twitter・Discordアカウントから
- Revoke.cashのChrome拡張機能でURL乗っ取り判別
- Braveブラウザで詐欺広告ブロック
- ウォレットは複数に分けて運用
- 署名は内容をちゃんと読む、ブラインド署名には超用心
- OpenSeaのhidden、謎の仮想通貨エアドロはさわらない
- 使わないサイトは定期的にrevoke
- 大事なNFT・仮想通貨はハードウェアウォレットでオフライン保管
- おまけ:取引所・Twitter・Discordは2段階認証利用(1Passwordがラク)
順に解説します。
シードフレーズ・秘密鍵はオフライン保管
ウイルスなどでシードフレーズ・秘密鍵を流出するとウォレット内だけでなく、PancakeSwapなどのDEX(分散型取引所)で運用している資産も含めて全て盗まれます。
そのためシードフレーズ・秘密鍵はパソコンのメモアプリやクラウド、パスワード管理アプリで保管してはいけません。必ず紙などにメモして物理的に管理しましょう。
たいちちなみに、
- シードフレーズ = ウォレットを丸ごと復元するための複数個の英単語
- 秘密鍵 = ウォレット内の1アカウントを別ウォレットにインポートするための英数文字列
です。
秘密鍵はMetaMaskの「アカウントの詳細」 > 「秘密鍵のエクスポート」で確認できます。
ウォレットに入れる資金は最低限(こまめな送金でもBITPointなら手数料0円)
先ほど書いたように、どれだけ用心していても詐欺・ハッキングを100%は防げません。
ウォレットにはNFTの購入などに使う必要最低限の資金だけをつど入れましょう。それ以外の資金は国内取引所やハードウェアウォレットなどの安全な場所に置いておきます。
こまめに仮想通貨を買ったり送ったりすると手数料が高い!という人にはBITPointがオススメです。
- 販売所ではなく取引所でBTC、ETH、XRPの取扱いあり
- 即時入金・取引・送金手数料が全て無料
という、ぼくがメインで使っている取引所です。
\ 紹介コード「YRKVLAMYRY」入力で500円GET /
たいちBITPointと他の取引所との手数料比較は、以下の記事で書いています。
よくわからないTwitterのDM・リプは無視、DiscordのDMはブロック
仮想通貨やNFT関連のTwitterアカウントをフォローしていると、知らない人からDMやリプがよく来ます。そのような他人からのメッセージは基本詐欺だと疑いましょう。
たいちまた知っている人からの連絡だとしても、アカウント乗っ取りの可能性があります。やりとりに違和感を感じたり、急にリンクが送られてきたりしたら、本人かどうかをよく確かめてください。
DiscordのDMは設定でブロックしてしましょう。多くのコミュニティでもブロック設定を推奨していますし、ぼく自身DiscordのDMをブロックして困ったたことはありません。
Discordはコミュニティ運営によく使われるチャットツールです。
DiscordのDMブロックは「プライバシー・安全」設定で↓のようにすればOK。
自宅ネットワーク以外でウォレットをさわらない(外でさわるならVPN利用)
ぼくはMetaMaskを自宅のパソコン以外でほぼさわりません。スマホにはインストールしていないですし、パソコンを外に持ち出すときも極力さわらないようにしています。
なぜなら自宅以外のネットワークはウォレットの情報が漏れるリスクが大きいから。特にフリーWi-FiはNGです。
↑の方は旅行中につなげたフリーWi-Fiが原因で、ウォレットから全資産を抜かれたそう。こういう事例を見ると、外でウォレットをさわるのがどれだけ危険か身にしみます...
たいち外でウォレットが入ったスマホやパソコンを使いたいときはVPNを利用しましょう。VPNは通信を暗号化し、情報漏洩のリスクを下げてくれます。
ふつうの通信が丸裸のまま情報を流しているとすると、VPNは情報をガードして外から見えなくしてくれるイメージです。
ぼくが使っているVPNサービスはNordVPN。
NordVPNは、
- 2年プランなら月額380円 & 3ヶ月無料(1ヶ月プランだと1,380円)と安価
- 世界59カ国・5,400台のサーバーで業界トップクラスの安定・高速通信
- アプリをインストールして「クイック接続」を押せばカンタンにVPN接続
- Windows、Mac、iOS(iPhone)、Androidのマルチデバイス対応
が特徴の優良VPNサービスです。
また申込から30日以内の解約なら全額返金保証なので、気軽に試せますよ。
\ 30日以内の解約なら全額返金保証 /
サービスのURLやNFT探しは公式のサイト・Twitter・Discordアカウントから
MetaMaskのダウンロードやOpenSeaへのアクセス時など、仮想通貨・NFT系のサービスを使うときはGoogle検索を使ってはいけません。
なぜならGoogleの検索上位や広告で上がっているURLが偽サイトの可能性があるからです。必ず公式が運営するサイト・Twitter・Discordなどでリンクを探してアクセスしましょう。
たいちまたNFTを探すときもOpenSeaで検索すると偽物がたくさん出てきます。
↑は日本時価総額トップのNFT「CryptoNinja Partners(CNP)」の検索結果。1番右以外は偽物です。
CNPは認証マークがついているのでわかりやすいですが、新しかったりまだ取引量が少なかったりするNFTは本物と偽物の見分けがつきません。
NFTを探すときも公式運営のTwitterなどから本物のURLを見つけましょう。
Revoke.cashのChrome拡張機能でURL乗っ取り判別
公式運営のTwitterやホームページから正しいURLにアクセスしても、その公式自体が乗っ取られている場合があります。
実際過去にはフォロワー6万人以上のNouns公式Twitterアカウントが乗っ取られ、偽サイトへのリンクをツイートする事件がありました。
公式乗っ取りで偽サイトに接続してしまったとき、それを偽物だと気づかせてくれるのがRevoke.cashのChrome拡張機能です。
Revokeの拡張機能はMetaMaskでapprove(仮想通貨・NFTの引き出し許可)をするときに、対象の資産と許可先アドレスを表示してくれます。
たいちこれだけで乗っ取り判別を100%はできませんが、Revoke.cashのChrome拡張機能はインストールするだけで資産を盗まれるリスクが減ります。ぜひ入れておきましょう。
Braveブラウザで詐欺広告ブロック
出典:Brave公式サイト
Braveは広告を自動ブロックしてくれる次世代ブラウザ。広告を読み込まないぶん通信量・バッテリー消費が減り、表示速度はChromeより速いです。
Google検索やTwitterの怪しげな広告も表示されないので、使うだけで詐欺にあうリスクが減ります。
たいちBraveはダウンロード時にChrome拡張機能・ブックマークを1クリックでインポート。移行はカンタンです。
OpenSeaやMINTサイトでも問題なく動作します。ぼくはスマホもパソコンもメインのブラウザはBraveです。
ウォレットは複数に分けて運用
NFTマーケターでTwitter15,000人のフォロワーがいる全力まんさんは↓のようにウォレットを使い分けています。
解説すると、
- Burner ウォレット:新サービスやFree Mintなど、ハイリスクなサイトに接続
- メインウォレット:信頼できるサイトにのみ接続
- ハードウェアウォレット:大切な資産を保管
- 特典受け取りウォレット:ホルダー特典があるNFT・仮想通貨を入れ、Discordなどにつなぐ
といった感じ。ここまでやれば完璧ですが、手間もかかるのでぼくは1、2、3の3ウォレット体制です。
ちなみにMetaMaskの「アカウントを作成」↓で追加したウォレットを複数運用しても意味がありません。
なぜならシードフレーズは全アカウントで共通しているので、
- シードフレーズが流出
- MetaMaskを入れているブラウザがハッキングされた
といった場合、全ウォレットから資産が盗まれるからです。
ぼくはChrome・Braveで1ウォレットずつ運用しています。これなら片方のブラウザから情報が漏れても、もう片方は被害を受けません。
Chrome・BraveのMetaMask複数ウォレット作成の正しいやり方は↓で書いています。(以下はMacを使った例ですが、Windowsもほぼ同じです)
署名は内容をちゃんと読む、ブラインド署名には超用心
MetaMaskでOpenSeaなどを使うと、たまに署名を求められます↓
ウォレットの署名は現実世界の署名と同じようなもの。たとえば会社に就職をするときは、雇用契約の内容を読んでサイン(署名)します。
ウォレット署名時の「メッセージ」には、ウォレットと接続先サービスの契約内容が書いてあります。どんな処理に署名するのかを必ず確認しましょう。
↑のOpenSea接続時の署名メッセージには、
OpenSeaに登録するために署名をしてね。ブロックチェーンにトランザクションは追加しないし、ガス代もかからない。許可状態は24時間でリセットされる。
と書いてあります。
ウォレットの署名で1番用心すべきは、メッセージにアドレスしか書いていない「ブラインド署名」です↓
メッセージがない = 処理内容が不明、ということ。現実世界なら何の契約かわからない契約書にサインをするようなものです。
たいちブラインド署名が出たときは、本当に安全な接続先かをよく確かめてください。不安なら知識がある人に確認しましょう。
ちなみにブラインド署名なんてものがある理由は、ブロックチェーンの処理内容を人の言語に変換・表示するのが難しいときのためです。
OpenSeaのHidden、謎の仮想通貨エアドロはさわらない
OpenSeaマイページの「More」 > 「Hidden」で開けるページには自分で購入したもの以外の(勝手に送られてきた)NFTが入っています。
送り主が完全に明らかで信頼できる場合を除き、HiddenのNFTは詐欺なのでさわってはいけません。
たいちまたMetaMaskに身に覚えのない仮想通貨が入っていることもありますが、これもさわると資産を盗まれる可能性があります。
ウォレット内の仮想通貨・NFTは、誰が何のために送ったのかわかるもの以外無視しましょう。
使わないサイトは定期的にrevoke
サイトにMetaMaskをつないで仮想通貨・NFTをやりとりするときは引き出し許可( = approve)をします。このapproveはrevoke(取り消し)をしないと消えません。
詐欺サイトでのapproveや、すでにapproveしているサイトがハッキングされた場合はrevokeをしないと資産が盗まれます。
たいちrevokeはRevoke.cashというサイトでカンタンにできます。詳しいやり方は以下の記事を読んでください。
» 仮想通貨・NFTを盗まれないためのメタマスクrevokeのやり方【1分で完了】
大事なNFT・仮想通貨はハードウェアウォレットでオフライン保管
仮想通貨ウォレットには、
- ホットウォレット:常時インターネット接続
- コールドウォレット:インターネット未接続
の2種類があります。
ホットウォレットの例はMetaMask。ウォレット内の仮想通貨・NFTを出し入れする鍵(シードフレーズ)はChromeなどのブラウザに保存されます。
たいち一方でLedger Nano
などのハードウェアウォレットは、コールドウォレットの一種。シードフレーズをその端末内に保存します。
パソコンがウイルスやハッキングの被害にあっても、ハードウェアウォレット内のシードフレーズは流出しません。高額なNFTや仮想通貨はハードウェアウォレットに保管するのが安全です。
\ 日本正規販売店が最安値 /
ぼくが使っているハードウェアウォレット「Ledger Nano S Plus」と他製品の比較やおすすめの買い方は、以下の記事で解説しています。
» おすすめハードウェアウォレットLedger Nanoの製品比較とコスパが良い買い方
またハードウェアウォレットの初期設定や実際の使い方が知りたい方は、以下の記事を読んでください。
» Ledger Nano S Plusの使い方!初期設定〜NFT送付まで
おまけ:取引所・Twitter・Discordは二段階認証利用(1Passwordがラク)
仮想通貨取引所・Twitter・Discordには必ず二段階認証を設定しましょう。これらはMetaMaskより安全ですが、ハッキングされれば資金や重要情報を盗まれます。
二段階認証を設定すればセキュリティをより強化できます。
二段階認証:ログイン時などに、Google Authenticatorなどの認証アプリで生成する認証コードを入力する設定
「二段階認証が重要なのはわかるけど、認証コードの管理やコピペがめんどう...」という人にオススメなのが、パスワード管理サービス「1Password」です。
二段階認証コードは1Passwordに保存可能。↑のようにWebサイトでの自動入力もできます(パソコンのみでスマホは自動入力不可)。
1Passwordは他にも
- ログインID・パスワードを保存 & 自動入力
- 初めてのサイトでは高いセキュリティのパスワードを自動生成 & 1クリック保存
- クレジットカード番号などの個人情報も保存すればサイトで自動入力
- iPhone、Android、iPad、Chromeなどあらゆる端末に対応
などの機能があり、かなり便利。
料金は月額2.99ドル(約500円)ですが、節約できる時間やパスワード管理コストを考えると安いです。生産性の鬼であるマコなり社長も愛用しています↓(5分30秒あたり)
1Passwordは14日間の無料お試し期間があるので、一度使って気に入らなければ解約すればOK。
1Passwordを3年契約するなら10,978円の
ソースネクストがおすすめ(公式だと2.99ドル × 36ヶ月 = 約14,639円)です。
\ 公式の約25%引き10,978円 /
新しい詐欺・ハッキング手法は日々生まれるので常に勉強!
暗号資産はまだ生まれてから15年ほどの新しい技術。
たくみな詐欺手法・システムの脆弱性(そこを突くとハッキングできる弱点のようなもの)は日々生まれ続けています。
現時点でどんなに知識がある人でも、情報収集をサボればやがてハッカーに足をすくわれるでしょう...
たいちセキュリティ情報収集には、日本最大のNFTコミュニティNinjaDAOのDiscordの「ハッキング駆け込み寺」というチャンネルがオススメ。
ここでは被害者の最新事例や対策が共有され、心配なことは相談をすれば知識ある人が回答をくれます。
誰でも無料で入れるので、のぞいてみると勉強になりますよ。ぼくも1日1回チェックしています。
常にセキュリティ意識を高く持ち、詐欺師やハッカーから資産を守りましょう。最後に今回紹介した12個の詐欺・ハッキング対策をまとめます。
- シードフレーズ・秘密鍵はオフライン保管
- ウォレットに入れる資金は最低限(こまめな送金でもBITPointなら手数料0円)
- よくわからないTwitterのDM・リプは無視、DiscordのDMはブロック
- 自宅ネットワーク以外でウォレットをさわらない(外でさわるならVPN利用)
- サービスのURLやNFT探しは公式のサイト・Twitter・Discordアカウントから
- Revoke.cashのChrome拡張機能でURL乗っ取り判別
- Braveブラウザで詐欺広告ブロック
- ウォレットは複数に分けて運用
- 署名は内容をちゃんと読む、ブラインド署名には超用心
- OpenSeaのhidden、謎の仮想通貨エアドロはさわらない
- 使わないサイトは定期的にrevoke
- 大事なNFT・仮想通貨はハードウェアウォレットでオフライン保管
- おまけ:取引所・Twitter・Discordは二段階認証利用(1Passwordがラク)
またぼくがふだん仮想通貨・NFTの情報収集に使っているところは、以下の記事で紹介しています。
(後日公開予定)