メインコンテンツへスキップ

イーサリアムのセキュリティと詐欺対策

暗号資産への関心が高まるにつれ、詐欺師やハッカーによるリスクも増大しています。この記事では、これらのリスクを軽減するためのベストプラクティスをいくつか紹介します。

注意:ethereum.orgのスタッフからあなたに連絡することはありません。公式のイーサリアムサポートを名乗るメールには返信しないでください。

暗号資産セキュリティの基礎

知識を深める

暗号資産の仕組みを誤解していると、高くつくミスにつながる可能性があります。例えば、失われたETHを返す代わりに秘密鍵を要求するカスタマーサービス担当者を装う人物は、イーサリアムがそのような機能を持たない分散型ネットワークであることを理解していない人々を狙っています。イーサリアムの仕組みについて学ぶことは、価値のある投資です。

イーサリアムとは?

イーサとは?

ウォレットのセキュリティ

リカバリーフレーズは絶対に共有しない

いかなる理由があっても、リカバリーフレーズや秘密鍵を共有しないでください!

リカバリーフレーズ(シークレットリカバリーフレーズまたはシード・フレーズとも呼ばれます)は、ウォレットのマスターキーです。これを持っている人は誰でも、あなたのすべてのアカウントにアクセスし、すべての資産を抜き取ることができます。秘密鍵も個々のアカウントに対して同じように機能します。正当なサービス、サポート担当者、またはウェブサイトがこれらを要求することは絶対にありません。

イーサリアムのウォレットとは?

シード・フレーズや秘密鍵のスクリーンショットを撮らない

シード・フレーズや秘密鍵のスクリーンショットを撮ると、クラウドデータプロバイダーに同期される可能性があり、ハッカーがアクセスできるようになる恐れがあります。クラウドから秘密鍵を入手することは、ハッカーにとって一般的な攻撃手法です。

ハードウェア・ウォレットを使用する

ハードウェア・ウォレットは、秘密鍵のオフラインストレージを提供します。秘密鍵を保存するための最も安全なウォレットの選択肢と考えられています。秘密鍵がインターネットに触れることはなく、デバイス上で完全にローカルに保たれます。

秘密鍵をオフラインに保つことで、ハッカーがあなたのコンピュータを制御したとしても、ハッキングされるリスクを大幅に減らすことができます。

ハードウェア・ウォレットを試す:

送信前にトランザクションを再確認する

間違ったウォレットのアドレスに暗号資産を誤って送信してしまうのは、よくあるミスです。イーサリアム上で送信されたトランザクションは取り消すことができません。 アドレスの所有者を知っていて、資金を返還するよう説得できない限り、資金を取り戻すことはできません。

トランザクションを送信する前に、送信先のアドレスが目的の受信者のアドレスと完全に一致していることを常に確認してください。 スマート・コントラクトとやり取りする際は、署名する前にトランザクションのメッセージを読むことをお勧めします。

スマート・コントラクトの支出上限を設定する

スマート・コントラクトとやり取りする際は、無制限の支出を許可しないでください。無制限の支出を許可すると、スマート・コントラクトがウォレットから資金を抜き取る可能性があります。代わりに、トランザクションに必要な金額のみに支出上限を設定してください。

多くのイーサリアムのウォレットは、アカウントから資金が抜き取られるのを防ぐための上限保護機能を提供しています。

暗号資産へのスマート・コントラクトのアクセスを取り消す方法

よくある詐欺

詐欺師を完全に阻止することは不可能ですが、彼らが最もよく使う手口を知ることで、その被害を減らすことができます。これらの詐欺には多くのバリエーションがありますが、一般的には同じようなパターンに従っています。少なくとも、以下のことだけは覚えておいてください:

  • 常に疑いの目を持つこと
  • 誰も無料や割引でETHをくれることはないこと
  • 誰もあなたの秘密鍵や個人情報へのアクセスを必要としないこと

ツイッター広告のフィッシング

Twitter link phishing

ツイッター(別名X)のリンクプレビュー機能(展開)を偽装し、ユーザーが正当なウェブサイトを訪問していると錯覚させる手法があります。この手法は、ツイートで共有されたURLのプレビューを生成するツイッターのメカニズムを悪用し、実際には悪意のあるサイトにリダイレクトされているにもかかわらず、例えば(上記のように)from ethereum.org と表示させます。

特にリンクをクリックした後は、正しいドメインにいることを常に確認してください。

詳細はこちら (opens in a new tab)

ギブアウェイ(プレゼント)詐欺

暗号資産で最も一般的な詐欺の1つが、ギブアウェイ詐欺です。ギブアウェイ詐欺には様々な形がありますが、一般的な手口は、指定されたウォレットのアドレスにETHを送信すると、ETHが2倍になって返ってくるというものです。このため、2-for-1詐欺とも呼ばれます。

これらの詐欺は通常、ギブアウェイを請求できる期間を限定し、偽の切迫感を作り出します。

ソーシャルメディアのハッキング

この詐欺の注目を集めた事例が2020年7月に発生しました。著名な有名人や組織のツイッターのアカウントがハッキングされたのです。ハッカーはハッキングしたアカウントで同時にビットコインのギブアウェイを投稿しました。詐欺的なツイートはすぐに気づかれ削除されましたが、ハッカーはそれでも11ビットコイン(2021年9月時点で50万ドル相当)を奪い去ることに成功しました。

A scam on Twitter

有名人のギブアウェイ

有名人のギブアウェイは、ギブアウェイ詐欺のもう1つの一般的な形態です。詐欺師は、有名人が行った録画済みのビデオインタビューやカンファレンスでの講演をユーチューブでライブ配信し、あたかもその有名人が暗号資産のギブアウェイを推奨するライブビデオインタビューを行っているかのように見せかけます。

この詐欺ではヴィタリック・ブテリンが最もよく使われますが、暗号資産に関わる他の多くの著名人(イーロン・マスクやチャールズ・ホスキンソンなど)も使われます。有名な人物を含めることで、詐欺師のライブ配信に正当性を持たせます(「怪しそうに見えるけど、ヴィタリックが関わっているなら大丈夫だろう!」と思わせるのです)。

ギブアウェイは常に詐欺です。これらのアカウントに資金を送信すると、永遠に失うことになります。

A scam on YouTube

サポート詐欺

暗号資産は比較的新しく、誤解されやすい技術です。これを利用した一般的な詐欺がサポート詐欺で、詐欺師は人気のあるウォレット、取引所、またはブロックチェーンのサポート担当者を装います。

イーサリアムに関する議論の多くはディスコードで行われています。サポート詐欺師は通常、公開されているディスコードのチャンネルでサポートに関する質問を検索してターゲットを見つけ、質問者にサポートを申し出るプライベートメッセージを送信します。信頼関係を築くことで、サポート詐欺師はあなたを騙して秘密鍵を明かさせたり、彼らのウォレットに資金を送信させたりしようとします。

A support scam on Discord

原則として、スタッフが非公式のプライベートなチャンネルを通じてあなたと連絡を取ることは絶対にありません。サポートとやり取りする際に心に留めておくべき簡単な事項をいくつか紹介します:

  • 秘密鍵、シード・フレーズ、またはパスワードは絶対に共有しない
  • 誰にもコンピュータへのリモートアクセスを許可しない
  • 組織が指定したチャンネル以外で連絡を取らない
注意:サポートを装った詐欺はディスコードでよく発生しますが、電子メールを含む、暗号資産の議論が行われるあらゆるチャットアプリケーションでも蔓延している可能性があります。

「Eth2」トークン詐欺

マージに向けて、「Eth2」という用語をめぐる混乱に乗じて、詐欺師はユーザーにETHを「ETH2」トークンに交換させようとしました。「ETH2」は存在せず、マージに伴って導入された他の正当なトークンもありません。マージ前に所有していたETHは、現在も同じETHです。プルーフ・オブ・ワーク (PoW) からプルーフ・オブ・ステーク (PoS) への移行に伴い、ETHに関連するアクションを起こす必要はありません

詐欺師は「サポート」として現れ、ETHを入金すれば「ETH2」が返ってくると言うかもしれません。公式のイーサリアムサポートは存在せず、新しいトークンもありません。ウォレットのシード・フレーズは絶対に誰とも共有しないでください。

注:ステーキングされたETHを表す派生トークン/ティッカー(例:Rocket PoolのrETH、リドのstETH、コインベースのETH2)は存在しますが、これらは「移行」する必要があるものではありません。

フィッシング詐欺

フィッシング詐欺は、詐欺師がウォレットの資金を盗もうとする際に使用する、ますます一般的になっているもう1つの手口です。

一部のフィッシングメールは、ユーザーにリンクをクリックさせて偽のウェブサイトにリダイレクトし、シード・フレーズの入力、パスワードのリセット、またはETHの送信を求めます。また、知らないうちにマルウェアをインストールさせてコンピュータを感染させ、詐欺師にコンピュータのファイルへのアクセス権を与えようとするものもあります。

見知らぬ送信者からメールを受け取った場合は、以下のことを覚えておいてください:

  • 見覚えのないメールアドレスからのリンクや添付ファイルは絶対に開かない
  • 個人情報やパスワードは絶対に誰にも漏らさない
  • 見知らぬ送信者からのメールは削除する

フィッシング詐欺を回避するための詳細 (opens in a new tab)

暗号資産取引ブローカー詐欺

詐欺的な暗号資産取引ブローカーは、暗号資産の専門ブローカーを名乗り、あなたのお金を預かって代わりに投資すると持ちかけます。詐欺師はあなたの資金を受け取った後、さらなる投資利益を逃さないようにと追加の資金を要求してあなたを騙し続けるか、あるいは完全に姿を消すかもしれません。

これらの詐欺師は多くの場合、ユーチューブの偽アカウントを使用して「ブローカー」に関する一見自然な会話を始めることでターゲットを見つけます。これらの会話は正当性を高めるために高く評価(Upvote)されることが多いですが、その評価はすべてボットアカウントによるものです。

インターネット上の見知らぬ人に代行投資を依頼してはいけません。暗号資産を失うことになります。

A trading broker scam on YouTube

暗号資産マイニングプール詐欺

2022年9月以降、イーサリアムでのマイニングは不可能になりました。しかし、マイニングプール詐欺は依然として存在します。マイニングプール詐欺では、一方的に連絡してきて、イーサリアムのマイニングプールに参加すれば大きな利益を得られると主張します。詐欺師は主張を続け、必要なだけあなたと連絡を取り続けます。基本的に、詐欺師はあなたがイーサリアムのマイニングプールに参加すると、あなたの暗号資産がETHの生成に使用され、ETHの配当が支払われると信じ込ませようとします。その後、あなたの暗号資産がわずかな利益を生み出しているのを目にするでしょう。これは単に、あなたにさらに投資させるための餌です。最終的に、あなたのすべての資金は未知のアドレスに送信され、詐欺師は姿を消すか、最近のケースのように連絡を取り続ける場合もあります。

結論:ソーシャルメディアでマイニングプールへの参加を求めて連絡してくる人には注意してください。一度暗号資産を失うと、二度と戻ってきません。

覚えておくべきこと:

  • 暗号資産でお金を稼ぐ方法について連絡してくる人には注意する
  • ステーキング、流動性プール、または暗号資産を投資するその他の方法について自分で調査する
  • そのような計画が正当であることは、あったとしても稀です。もし正当であれば、おそらく主流になっており、あなたも聞いたことがあるはずです。

マイニングプール詐欺で20万ドルを失った男性 (opens in a new tab)

エアドロップ詐欺

エアドロップ詐欺では、詐欺プロジェクトがあなたのウォレットに資産(NFT、トークン)をエアドロップし、エアドロップされた資産を請求するために詐欺ウェブサイトに誘導します。請求しようとすると、イーサリアムのウォレットでサインインし、トランザクションを「承認する」よう求められます。このトランザクションは、公開鍵と秘密鍵を詐欺師に送信することでアカウントを危険にさらします。この詐欺の別の形態として、詐欺師のアカウントに資金を送信するトランザクションを確認させるものもあります。

エアドロップ詐欺の詳細 (opens in a new tab)

ウェブセキュリティの基礎

強力なパスワードを使用する

アカウントのハッキングの80%以上は、脆弱なパスワードや盗まれたパスワードが原因です (opens in a new tab)。文字、数字、記号の長い組み合わせは、アカウントを安全に保つのに役立ちます。

よくある間違いは、いくつかの一般的な関連する単語の組み合わせを使用することです。このようなパスワードは、辞書攻撃と呼ばれるハッキング手法に弱いため、安全ではありません。

脆弱なパスワードの例:CuteFluffyKittens!

強力なパスワードの例:ymv\*azu.EAC8eyp8umf

もう1つのよくある間違いは、簡単に推測されたり、ソーシャルエンジニアリング (opens in a new tab)を通じて発見されたりするパスワードを使用することです。母親の旧姓、子供やペットの名前、または生年月日をパスワードに含めると、ハッキングされるリスクが高まります。

良いパスワードの習慣:

  • パスワードジェネレーターまたは入力しているフォームで許可されている限り、パスワードを長くする
  • 大文字、小文字、数字、記号を混ぜて使用する
  • 家族の名前などの個人情報をパスワードに使用しない
  • 一般的な単語を避ける

強力なパスワードの作成に関する詳細 (opens in a new tab)

すべてに固有のパスワードを使用する

データ侵害で漏洩した強力なパスワードは、もはや強力なパスワードではありません。ウェブサイト Have I Been Pwned (opens in a new tab) では、あなたのアカウントが公開されたデータ侵害に巻き込まれていないかを確認できます。もし巻き込まれていた場合は、直ちにそのパスワードを変更してください。すべてのアカウントに固有のパスワードを使用することで、1つのパスワードが侵害された場合に、ハッカーがすべてのアカウントにアクセスするリスクを下げることができます。

パスワードマネージャーを使用する

パスワードマネージャーを使用すれば、強力で固有のパスワードの作成と記憶を任せることができます!私たちはパスワードマネージャーの使用を強くお勧めします。そのほとんどは無料です!

持っているすべてのアカウントの強力で固有のパスワードを覚えるのは理想的ではありません。パスワードマネージャーは、1つの強力なマスターパスワードを通じてアクセスできる、すべてのパスワードのための安全で暗号化された保存場所を提供します。また、新しいサービスにサインアップする際に強力なパスワードを提案してくれるため、自分で作成する必要はありません。多くのパスワードマネージャーは、データ侵害に巻き込まれたかどうかも教えてくれるため、悪意のある攻撃を受ける前にパスワードを変更することができます。

Example of using a password manager

パスワードマネージャーを試す:

二要素認証を使用する

固有の証明を通じて身元の認証を求められることがあります。これらは**要素(ファクター)**として知られています。主な3つの要素は以下の通りです:

  • 知識情報(パスワードやセキュリティの質問など)
  • 生体情報(指紋や虹彩/顔スキャナーなど)
  • 所持情報(セキュリティキーやスマートフォンの認証アプリなど)

**二要素認証(2FA)**を使用すると、オンラインアカウントに追加のセキュリティ要素が提供されます。2FAにより、パスワードを持っているだけではアカウントにアクセスできなくなります。最も一般的な2つ目の要素は、**時間ベースのワンタイムパスワード(TOTP)**として知られるランダム化された6桁のコードで、Google AuthenticatorやAuthyなどの認証アプリを通じてアクセスできます。時間制限のあるコードを生成するシードがデバイスに保存されているため、これらは「所持情報」の要素として機能します。

注:SMSベースの2FAを使用すると、SIMジャッキングの影響を受けやすく、安全ではありません。最高のセキュリティを確保するには、Google AuthenticatorAuthyなどのサービスを使用してください。

セキュリティキー

セキュリティキーは、より高度で安全なタイプの2FAです。セキュリティキーは、認証アプリのように機能する物理的なハードウェア認証デバイスです。セキュリティキーを使用することは、2FAを行う最も安全な方法です。これらのキーの多くは、FIDO Universal 2nd Factor(U2F)標準を利用しています。FIDO U2Fの詳細 (opens in a new tab)

2FAに関する詳細な動画を見る:

Crypto security: passwords and authentication

Andreas Antonopoulos covers essential crypto security practices, focusing on password management, authentication methods, and best practices for protecting your digital assets and private keys.

トランスクリプト付きで視聴 

ブラウザ拡張機能をアンインストールする

クロームの拡張機能やFirefoxのアドオンなどのブラウザ拡張機能は、ブラウザの機能を向上させることができますが、リスクも伴います。デフォルトでは、ほとんどのブラウザ拡張機能が「サイトデータの読み取りと変更」へのアクセスを要求し、あなたのデータでほぼ何でもできるようにします。クロームの拡張機能は常に自動的に更新されるため、以前は安全だった拡張機能が後で更新され、悪意のあるコードが含まれる可能性があります。ほとんどのブラウザ拡張機能はあなたのデータを盗もうとしているわけではありませんが、盗むことが可能であることは認識しておくべきです。

安全を保つための方法:

  • 信頼できるソースからのみブラウザ拡張機能をインストールする
  • 使用していないブラウザ拡張機能を削除する
  • クロームの拡張機能をローカルにインストールして自動更新を停止する(上級者向け)

ブラウザ拡張機能のリスクに関する詳細 (opens in a new tab)

参考文献

ウェブセキュリティ

暗号資産セキュリティ

詐欺に関する教育

イーサリアムの知識をテストする