酒とITと私

【決定版】仮想通貨の用途別管理方法

安全性及び、可用性の観点から用途別にウォレット管理の方法をまとめました。仮想通貨におけるウォレット管理の考え方や攻撃パターンについても少し触れています。

スポンサーリンク

はじめに

【決定版】とか偉そうなことをタイトルに書いてますが(書きたかっただけw)、仮想通貨の管理には”決定版”なんてありません。技術や、攻撃手法の進歩によって、最適な管理手法は変わります。また、そもそも仮想通貨の保有目的によって、”最適”な管理手法は変わってくると思います。ですので、あくまで、現時点の環境を踏まえた上で、それぞれの目的において、適していると思われている管理方法をまとめたものとなります。

ウォレット管理の考え方

ここでは、どうやってウォレットを管理すればいいのか、ということを考えるために必要な程度に、ウォレット管理の考え方をおさらいします。ですので、厳密には違うことも書いていますが、“どう管理すればいいか”ということを考えるという点では問題はないと考えています。

仮想通貨におけるウォレット管理のイメージは下図のようになります。

自分のウォレットに対して、自分が保有しているパスワードなどを使って操作を行います。この、ウォレットを表すアドレス(公開鍵…ここが厳密には違います)と、パスワード(秘密鍵)のペアがウォレット操作には必要になります。秘密鍵は、例えば、MEWでウォレットを作成したときに出力されるファイル(+ウォレット作成時のパスワード)、MetaMaskでのパスワード、ハードウェアウォレットなどがそれにあたります。なので、ウォレットという名前ですが、実際にウォレットそのもの(MEWやMetaMask、Ledge Nano S)に仮想通貨が入っているわけではない、ということです。そして、基本的にはウォレットのアドレスはブロックチェーン上で公開されているので、秘密鍵をどのように管理するか、が重要になるということになります。

ということで、さっそく用途別秘密鍵の管理方法に移りたいですが、その前にいったんハッキング手法を整理しておきましょう。

攻撃手法

いわゆるハッキングにも様々なパターンがあります。どのように秘密鍵を管理すべきか、という議論と関わってきますので、ざっくりと整理したいと思います。

マルウェア

悪意のあるプログラムを送り込むやつですね。メールとか、変なサイトとか、書き換えられたサイトとか、から間違ってダウンロードしてしまって、PCで悪さをするやつです。例えば、PCに保存している秘密鍵を盗んだりします。

フィッシング

秘密鍵をユーザーに入力させて盗む手法です。取引所の偽サイトを使って、パスワードと2段階認証コードを抜いたり、AirDropを装って、秘密鍵を入力させたりするのがこれにあたります。入力してしまうと一撃で全部抜かれますね。

総当たり/辞書攻撃

組み合わせ可能なすべての文字列を試したり、単語のリストから組み合わせた文字列を作って、特定ウォレットの開錠を試みる方法です。現状の計算速度だとある程度の長さの乱数のパスワードを設定すればほぼ回避ができますが、量子コンピュータが実用化されれば分かりません。

ちなみに、ハッキングって、なんか高度な技術が必要そうに見えますが、その辺にあるツールで簡単にできます。まあ、こちらのリンク先のパターンは平和的な利用ですけど笑。

仮想通貨のウォレット(wallet.dat)のパスフレーズを忘れたのでリカバリーを試みました

用途別管理

上記の、ウォレット管理の仕組み及び攻撃手法を考慮した上で、下記のような仮想通貨の保有目的別の管理手法が最適だと考えられます。複数目的で所有している方は、それぞれの目的に必要な比率で分散管理しましょう。

また、いずれの場合にせよ、運用上の注意点、に書いてあることは注意する必要があります。

ガチホ

長期保有目的の方、または、動かす予定がない分の仮想通貨は、ハードウェアウォレットまたは、ペーパーウォレットにて管理すべきでしょう。

ハードウェアウォレットLedger Nano SでのTRON管理方法!

いずれの攻撃手法も、基本的にインターネットにつながっているからこそ可能です。ですので、特に動かすつもりがないものは、インターネットから遮断されている方法で管理するのがベストです。

*注意点*

しかし、ハードウェアウォレットにも注意点はあります。それは、ハードウェアウォレットに細工がされている可能性です。

【注意喚起】ハードウェアウォレットをAMAZONで買う危険性

こちらのブログにあるように、どこの誰が出したか分からないようなハードウェアウォレットを買うと仮想通貨が盗まれる危険性があるということです。我々日本人が購入するのであれば、日本語でのサポートも受けられる、Ledger Nano Sの日本正規代理店(Earth Ship)から買うことをお勧めします。

Earth ShipでLedger Nano Sを買う!

そして、届いたハードウェアウォレットにまずは少額を送金しましょう。しばらく様子をみてそれで大丈夫そうであれば、たぶんそのハードウェアウォレットは大丈夫なやつです(100%ではないけれど)

ということで、紙をなくさない+誰にも紙を見られない自信があるなら、ペーパーウォレットがもっとも安全といえそうです。ただし、紙にパスワードは掛けられないので、紙が盗られるとダメです。

ICO

仮想通貨の楽しみの一つにICOへの参加があると思います。楽しいですよね。僕もICO好きです。ICOに参加しようと思うと、ある程度可用性(動かしやすさ)を担保する必要があります。人気のICOへの参加に乗り遅れたくないですからね!

ICO用に、MEWなどのウェブベースのウォレット(厳密にいうと、MEWはウォレットを操作するためのアプリであり、ウォレットではないけれども)や、ブラウザのプラグインMetaMaskなどに、いくらかのETHを入れておくのがよいと思います。

イーサリアムのウォレットMyEtherWalletへのTRONの入金方法!

イーサリアム系ウォレットMetaMaskへのTRON(トロン)入金手順!

また、MEWの秘密鍵をスマフォ用ウォレットアプリ、Trustなどにインポートして、スマフォで触りやすくすれば、PCが触れない環境でも手軽にICOに参加できるようになります。

モバイルウォレットTrustを使って、MEWをスマフォで閲覧・操作!

但し、インターネットにつながる端末におかれている秘密鍵が増えるので、マルウェアの被害に合う確率は上がります。

AirDrop

仮想通貨の楽しみとして、AirDropもありますね。アドレスを入力するだけ仮想通貨がもらえたりと、楽しいですし、もらった通貨は応援したくなりますよね。

但し、このAirDropにも穴はあります。秘密鍵を入力させるやつは論外で詐欺確実ですが、そもそも、色んな所へウォレットのアドレスを書くのは結構リスキーです。もちろん、パスワードをきちんとランダムな長めのものに設定していればある程度安全ではありますが、僕はAirDropへの参加はできるだけ捨てウォレットで行うようにしています。これで、もしも盗られたとしても被害が小さくて済みます。というか、AirDropでもらった通貨しか入っていないウォレットであればそもそも被害なんてないですよねw

AirDropは手軽なアドレスの参照/入金の確認ができた方がよいので、捨てウォレットでモバイルウォレットで管理するのがベストだと思います。

トレード

これはもう、取引所一択ですね。もちろん、DEXを利用すればウォレットから直接取引もできますが、まだまだ取引量が少ないように思いますので、ストレスなく取引するならやはり取引所で行う方がよいと思います。

Binanceに登録する!

但し、取引所に置くということは、ウォレットの管理について取引所に任せることになりますので、そういったリスクをきちんと認識した上で、必要な分だけ取引所に置いておく必要があります。各取引所のウォレット管理やセキュリティに対する考え方はこんな感じで示されていることが多いです。

bitFlyer のセキュリティ

bitFlyerは結構がんばってますね笑

BitFlyerに登録する!

運用上の注意点

どこで秘密鍵を管理するにしても考慮しておきたい運用上の注意点をまとめておきます。

ブックマークする

よく使う取引所や、MEWはブックマークしておきましょう。そして、アクセスするときはブックマークから行うようにしましょう。これだけで、フィッシングに合う確率をかなり下げることができます。また、MetaMaskをブラウザにインストールしておくと、フィッシングの疑いのあるサイトにアクセスしようとしたときにアラートを出してくれます。

MEWをローカルで使う

普段使っているMEW( https://www.myetherwallet.com )ですが、このアプリをローカルで使うこともできます。そうすれば、MEWの詐欺サイトにアクセスしてしまって、フィッシングに引っかかる可能性がほぼなくなります。インストール方法はこちらを参考にしてください。

MyEtherWalletをローカルで使う方法

PC詳しくないとちょっと難しいかもしれませんが、がんばってください笑

2段階認証を設定する

特に取引所でですが、2段階認証は絶対に設定しおきましょう。

ウォレットの確認だけなら秘密鍵を使わない

ウォレットの中身を確認したいだけのときは、秘密鍵を使ってわざわざウォレットを操作する必要はありません。Etherscanなどを使ってウォレットの状況を確認しましょう。

ペーパーウォレットをバックアップとして持つ

MEWなどでウォレットを作ったとき、可能であればペーパーウォレットも作成しておきましょう。PCが壊れたり、もしものときにウォレットが操作できなくなって、GOXしてしまうリスクを防ぐことができます。

最新のハッキング情報を知る

仮想通貨を取り巻く(というか、インターネット業界全体に言えますが)状況は変化が激しいです。現在自分が行っているウォレットの管理方法が、今後ずっと安全性が高いとは言えません。ですので、最新のハッキング情報や、ウォレットの管理方法には常にアンテナを張っておきましょう!

いかがでしょうか。仮想通貨は楽しいです。楽しいので、ちゃんと楽しめるように、守りの部分はしっかりしておく必要があると思います。守るところはしっかり守って、勝負するところでしっかり勝負するとより楽しめると思います!

(参考)MEWについて

MEWって、ウォレットを管理するためのインターフェースなんですよね。一般的にいわれるウォレット(秘密鍵の管理を行うツール)ではないんですね。MEWは秘密鍵は管理しません。ユーザーが入力したパスワードや秘密鍵ファイルを使って、あるいは、MetaMaskやLedger Nano Sが管理している秘密鍵を使って、ウォレットを操作するためのアプリなんです。ちょっと、この辺はまた分かりやすく書けたらな。。。笑