メインコンテンツへスキップ

ページの最終更新日時: 2024年4月1日

イーサリアムのセキュリティと詐欺対策

仮想通貨への関心が高まるにつれ、仮想通貨を使用する際の最善の方法を学ぶことは非常に大切です。 仮想通貨は楽しくてエキサイティングなものですが、深刻なリスクもあります。 事前に少し学んでおくと、これらのリスクを軽減できます。

ウェブセキュリティ入門

強力なパスワードの使用

アカウントのハッキングの80%以上は、パスワードの脆弱さ、またはパスワードが盗まれることにより起こっています(opens in a new tab) 。 文字、数字、記号の長い組み合わせを用いて、アカウントを安全に保ちましょう。

よくある間違いは、辞書にのっている一般的な単語を2~3組み合わせて使うことです。 次のようなパスワードは、辞書攻撃(opens in a new tab)として知られる単純なハッキングの攻撃に逢いやすく危険です。

脆弱なパスワード例: CuteFluffyKittens!

強力なパスワード例: ymv\*azu.EAC8eyp8umf

もう一つのよくある間違いは、簡単に推測される、もしくは ソーシャルエンジニアリング(opens in a new tab)を通して見つけることができるパスワードを使用することです。 パスワードに母親の旧姓、子供やペットの名前、生年月日を含めることは安全ではなく、ハッキングされるリスクが大きくなります。

パスワードのグッド・プラクティス:

  • パスワードジェネレータや入力フォームで許可される最長のパスワードを使用
  • 大文字、小文字、数字、記号を組み合わせる
  • パスワードに家族名などの個人情報を使用しない
  • 辞書に載っている一般的な単語を使わない

より強力なパスワードの作成の詳細(opens in a new tab)

パスワードの使い回しをしない

強力なパスワードであっても、情報漏洩によってパスワードが漏れた場合には保護されません。 Have I Been Pwned(opens in a new tab)というウェブサイトで、データベースに保存されている情報漏洩にあなたのアカウントが含まれているかどうかを調べることができます。 検索の結果、もしそのデータベースにあなたのアカウントがあれば、パスワードをすぐに変更してください。 すべてのアカウントで異なるパスワードにしておくと、いずれかのパスワードが漏洩したときに、ハッカーにすべてのアカウントにアクセスされるリスクを低減します。

パスワードマネージャーの使用

パスワードマネージャーを利用すると、強力で一意のパスワードを作成し、それらを覚えておくことができます! パスワードマネージャーの利用を強く推奨します(多くは無料で利用可能)。

すべてのアカウントで固有の強力なパスワードを覚えておくことは理想的とはいえません。 パスワードマネージャーは、すべてのパスワードを安全に暗号化して保存し、強力なマスターパスワードを利用してそれらにアクセスすることができます。 また、新しいサービスに登録する際、強力なパスワードを提案するため、自分自身でパスワードを作成する必要がなくなります。 また、情報漏洩が起こった場合は、多くのパスワードマネージャーには通知機能があるため、悪意のある攻撃の前にパスワードを変更することができます。

パスワードマネージャーの使用例

パスワードマネージャー:

二要素認証の使用

あなたが紛れもなくご本人であることを証明するため、認証にはさまざまな証明方法があります。 これらは 認証要素 として知られており、主に次の三要素があります。

  • 自分自身が知っていること(パスワードやセキュリティ質問など)
  • 生体認証(指紋や虹彩/顔認証など)
  • 所有しているもの(スマートフォンのセキュリティキーまたは認証アプリ)

二要素認証(2FA)は、オンラインアカウントにセキュリティ要素を追加すると、パスワードだけではアカウントにアクセスすることはできなくなります。 最も一般的には、二つ目の要素は時間ベースのワンタイムパスワード (TOTP)として知られる、ランダム化された6桁のコードを使用します。このコードはGoogle AuthenticatorやAuthyなどの認証アプリからアクセスします。 時間制限のあるコードを生成するシードがあなたのデバイスに保存されているため、この要素は「所有しているもの」です。

注: SMSベースの2FAを使用するとSIMハイジャック(opens in a new tab)に遭う恐れがあり、安全ではありません。 最大限に安全を確保するためには、 Google Authenticator(opens in a new tab)またはAuthy(opens in a new tab) のようなサービスを利用してください。

セキュリティキー

二要素認証(2FA)をさらに強化させたい場合は、セキュリティキーの使用を検討してください。 セキュリティキーは、認証アプリと同じように動作する物理的なハードウェア認証デバイスです。 セキュリティキーの使用は、二要素認証(2FA)で最も安全な方法です。 これらのキーの多くは、FIDOユニバーサル第二認証要素(U2F)規格を利用しています。 FIDOユニバーサル第二認証要素(U2F)についての詳細はこちら(opens in a new tab)をご覧ください。

FIDOユニバーサル第二認証要素(U2F)の詳細に関する動画

ブラウザ拡張機能のアンインストール

Chrome拡張機能やFirefoxのアドオンなどのブラウザ拡張機能は、便利なブラウザ機能を強化し、ユーザーエクスペリエンスを向上させることができますが、リスクが伴います。 デフォルトでは、ほとんどのブラウザ拡張機能は「サイトデータの読み取りと変更」の権限を要求し、データに対してほとんど何でもできるようにします。 Chrome拡張機能は常に自動的に更新されるため、以前は安全であった拡張機能であっても、悪意のあるコードを含むように更新されてしまう可能性があります。 ほとんどのブラウザ拡張機能は、データを盗もうとしていませんが、それらができるということを認識しておく必要があります。

安全性を確保するためのヒント:

  • 信頼できるソースからのみブラウザ拡張機能をインストール
  • 未使用のブラウザ拡張機能を削除
  • 自動更新を無効にするため、ローカルからChrome拡張機能をインストールします (上級者向け)

ブラウザ拡張機能に関するリスクの詳細(opens in a new tab)

仮想通貨セキュリティ入門

知識のレベルアップ

一般的に、仮想通貨で詐欺の被害に遭ってしまう最大の理由の1つは理解の不足です。 例えば、イーサリアムネットワークが分散化されており、イーサリアムを所有する者はいないことを理解していないと、カスタマーサービスエージェントを装う者に「秘密鍵を教えると失われたETHが返ってくる」というような嘘に簡単に騙されてしまいます。 イーサリアムの仕組みについての知識を得ることは大切です。

イーサリアムとは

イーサとは

ウォレットのセキュリティ

絶対に秘密鍵を他人に教えない

どんな理由があっても、秘密鍵は絶対に他人に教えないでください!

ウォレットの秘密鍵は、イーサリアムウォレットのパスワードとして機能します。 秘密鍵を教えてしまうと、あなたのウォレットアドレスを知っている人が、あなたのアカウントの全資産を盗むことができます!

イーサリアムウォレットとは

シードフレーズ/秘密鍵のスクリーンショットを撮らない

シードフレーズや秘密鍵のスクリーンショットを撮ると、スクリーンショットがクラウドに同期され、ハッカーにアクセスされる危険性があります。 クラウドから秘密鍵を取得することは、ハッカーよく行う攻撃ベクトルです。

ハードウェアウォレットの使用

ハードウェアウォレットは秘密鍵をオフラインで保存します。 これらは秘密鍵を保存するための最も安全なウォレットオプションと考えられています。秘密鍵はインターネットに接続されることなく、デバイス上で完全にローカルな状態に保持されます。

秘密鍵をオフラインで保存すると、たとえハッカーがコンピュータをコントロールしたとしても、秘密鍵がハッキングされるリスクを大幅に軽減します。

ハードウェアウォレット:

送信前にトランザクションを再確認

誤ったウォレットアドレスに仮想通貨を送信してしまうことはよくある間違いです。 イーサリアム上でトランザクションを送ると取り消しができません。送信先のアドレスの所有者を知っていて、あなたが送金した額を返金してくれるように説得することができなければ、失ったお金を取り戻すことはできません。

トランザクションを送信する前に、送信先アドレスが、意図する受信者のアドレスと正確に一致することを常に確認してください。 また、スマートコントラクトを使ってやり取りする場合にも、署名する前にトランザクションメッセージを読むことをお勧めします。

スマートコントラクトの使用限度額を設定

スマートコントラクトとやり取りする際は、出金限度額を無制限にしないでください。 出金限度額を無制限にすると、スマートコントラクトがあなたのウォレットの資産をゼロにしてしまう可能性があります。 トランザクションに必要な金額のみを限度額に設定してください。

多くのイーサリアムウォレットは、アカウントの資産が空になってしまうことを防ぐため、利用限度額の設定ができます。

暗号資金へのスマートコントラクトのアクセスを無効にする方法

代表的な詐欺

詐欺師は常に資金を奪う方法を探しています。 詐欺を完全に阻止することは不可能ですが、最も使用されている手法に注意を向けることで、手口を見抜くことができます。 詐欺には多くのバリエーションがありますが、一般的には同じようなパターンです。 少なくとも、次のことにご留意ください。

  • 常に警戒を怠らない
  • 無料または割り引かれたETHを誰かがくれるはずはない
  • 秘密鍵や個人情報を教えない

プレゼント詐欺

暗号通貨の最も一般的な詐欺の1つは、プレゼント詐欺です。 プレゼント詐欺は多くの手口がありますが、一般的な方法は、指定されたウォレットアドレスにETHを送金すると、ETHが2倍になって返ってくるというものです。 口座確認のために仮想通貨を送ると、2倍にしてプレゼントするなどの手口です。

通常、これらの詐欺は、無料のプレゼントに対して時間制限を設け、意思決定を鈍らせ、偽りの緊急性を装います。

ソーシャルメディアのハッキング

この種の詐欺で注目を集めたのは、2020年7月に著名な有名人や組織のTwitterアカウントがハッキングされ、 ハッカーが著名人を騙りハッキングしたアカウントでビットコインのプレゼント告知を投稿した事件です。 詐欺のツイートはすぐに気づかれて削除されましたが、ハッカーは11ビットコイン(2021年9月時点で50万ドル)を持ち逃げしました。

Twitterでの詐欺行為

著名人からのプレゼント

著名人からのプレゼントもよくある詐欺の手法の1つです。 詐欺師は、著名人のビデオインタビューや講演会を使い、YouTubeでライブ配信します。著名人があたかもライブで暗号通貨のプレゼントのインタビューをしているかのように見せかけます。

この詐欺で最も頻繁に利用されるのはVitalik Buterinですが、暗号通貨に関わるElon Musk氏やCharles Hoskinson氏など他の多くの著名人も利用されています。 著名人を関与させることで、詐欺のライブ配信が正当なものであるかのように見せかけます(怪しそうだけれど、Vitalikが関与しているので大丈夫に違いないと信用性を高めます)。

プレゼントは常に詐欺です。 これらのアカウントに資金を送ると、永久に戻ってきません。

YouTubeでの詐欺行為

サポート詐欺

暗号通貨は比較的歴史が浅く、誤解されやすい技術です。 この点を悪用した詐欺が、人気のあるウォレット、取引所、またはブロックチェーンのサポート担当者をかたる、なりすましサポート詐欺です。

イーサリアムについての議論の多くはディスコードで行われます。 サポート詐欺師はディスコードのパブリックチャンネルで質問をしているターゲットを探し、「サポートを提供します」というようなプライベートメッセージを送信します。 信頼を築くことによって、詐欺師はあなたを騙して、秘密鍵を公開させたり、詐欺師のウォレットに資金を送らせようとしたりします。

ディスコードでのサポート詐欺

原則、プライベートな非公式チャネルを介して、スタッフから連絡を取ることはありません。 サポートを受ける際は、次の基本的なことにご注意ください。

  • 秘密鍵、シードフレーズ、パスワードを共有しない
  • あなたのコンピュータへのリモートアクセスを許可しない
  • 組織の指定されたチャネル外では連絡しない
注: サポート詐欺はよくディスコードで起きていますが、暗号通貨に関する議論が行われているチャットアプリケーションや電子メールなどでも起きる可能性があります。

「ETH2」トークン詐欺

マージの準備段階で、「ETH2」という用語の混乱を悪用し、ユーザーにETHを「ETH2」トークンとして取引させようとする詐欺が横行しました。 マージにより導入された「ETH2」や他の新しいトークンなどはありません。 マージ前に所有していたETHは、現在も何も変わることなく、同じETHです。 ETHに関しては、プルーフ・オブ・ワークからプルーフ・オブ・ステークへの移行によって必要となる対応は一切ありません

ETHを入金すれば「ETH2」が戻ってくるという「サポート担当」を偽る詐欺があります。 公式のイーサリアムサポートというものはなく、新しいトークンも存在しません。 また、ウォレットのシードフレーズは誰にも教えないようにしてください。

注: ステークされたETHを表す、Rocket PoolのrETH、LidoのstETH、CoinbaseのETH2などデリバティブトークン/ティッカーがありますが、これらは「移行」が必要なものではありません。

フィッシング詐欺

フィッシング詐欺もまた、ウォレットの資金を盗む手法として一般的になっています。

フィッシングメールを送ってユーザーにリンクをクリックさせて、偽のウェブサイトへ誘導し、 シードフレーズを入力させようとしたり、パスワードをリセットさせようとしたり、ETHを送金させようとしたりします。 また、マルウェアを知らないうちにインストールさせて、コンピュータのファイルに詐欺師がアクセスできるようにするフィッシングメールもあります。

もし差出人不明のメールを受け取った場合は、次のことにご注意ください。

  • 知らないメールアドレスから送られたリンクや添付ファイルを開かない
  • 個人情報やパスワードを誰にも漏らさない
  • 差出人不明のメールは削除する

フィッシング詐欺の回避策の詳細(opens in a new tab)

暗号通貨取引ブローカー詐欺

暗号通貨取引ブローカー詐欺師は、暗号通貨ブローカーの専門家を名乗って、あなたの代わりにお金を運用すると言って近づき、 非現実的な運用益を保証してきます。 詐欺師は資金を受け取った後、さらなる投資利益を見逃さないように追加の資金を送るよう求めたり、時には忽然と姿を消す場合もあります。

こうしたブローカーを装う詐欺師達は、偽のYouTubeアカウントを使ってブローカーに関する自然な動画を流して、ターゲットを探します。 通常、これらの動画には正当性を高めるために高評価が付けられていますが、それらはすべてボットアカウントによるものです。

あなたに代わって投資をしようとするインターネット上の他人を信用しないようにしてください。 暗号通貨を失うことになってしまいます。

YouTubeでの取引ブローカー詐欺

暗号通貨マイニングプール詐欺

2022年9月現在、イーサリアムのマイニングはできなくなりましたが、 マイニングプール詐欺は依然として存在しています。 マイニングプール詐欺では、一方的に連絡をよこし、イーサリアムのマイニングプールに参加することで大きな利益が得られると勧誘してきます。 詐欺師は勧誘を続け、たとえどれだけ時間がかかっても連絡を取り続けます。 イーサリアムのマイニングプール参加時に「ETHを作るためにあなたの暗号通貨を使用し、配当金はETHで支払われる」と説得してきます。 参加することで多少の利益を得ることはできますが、 これはより多額の投資をさせるための手口にすぎません。 最終的に、あなたの資金は見知らぬアドレスに送金され、詐欺師は姿を消します。一方、最近の事件では連絡を取り続けるケースも見られます。

要するに、SNS上でマイニングプールへの参加を呼びかける人には注意が必要です。 一度暗号通貨を失うと、取り戻すことはできません。

留意事項:

  • あなたの暗号通貨でお金を稼ぐ方法について連絡してくる人には、注意してください。
  • ステーキング、流動性プール、または他の暗号通貨の投資方法について、ご自身で調べてください。
  • 詐欺に見られるスキームが正当なものであることは、ほとんどありません。 もし仮に適正なものであったならば、おそらくそれが主流になっていて、すでに聞いたことがあるはずです。

マイニングプール詐欺で20万ドル損失(opens in a new tab)

エアドロップ詐欺

エアドロップ詐欺は、あなたのウォレットに資産(NFTやトークン)をエアドロップし、エアドロップされた資産を受け取るために詐欺ウェブサイトに誘導するという手法です。 受け取ろうとすると、イーサリアムウォレットでサインインし、トランザクションを「承認 」するよう促されます。 このトランザクションによって、公開鍵と秘密鍵が詐欺師に送信されてしまい、あなたのアカウントが危険な状態に晒されてしまいます。 この種の詐欺の別の手口として、詐欺師のアカウントに送金するトランザクションを承認させるものもあります。

エアドロップ詐欺の詳細(opens in a new tab)

参考文献

ウェブセキュリティ

暗号資産のセキュリティ

詐欺被害にあわないために

Test your Ethereum knowledge

この記事は役に立ちましたか?