メインコンテンツへスキップ

ページの最終更新日時: 2023年5月25日

イーサリアムのセキュリティと詐欺対策

仮想通貨への関心が高まるにつれ、仮想通貨を使用する際のベストプラクティスを学ぶことは非常に大切です。 仮想通貨は楽しくてエキサイティングなものですが、深刻なリスクもあります。 事前に少し学んでおくと、これらのリスクを軽減できます。

ウェブセキュリティ入門

強力なパスワードの使用

アカウントのハッキングの 80%以上は、パスワードの脆弱さ、またはパスワードが盗まれることにより起こっています(opens in a new tab) 。 文字、数字、記号の長い組み合わせを用いて、アカウントを安全に保ちましょう。

よくある間違いは、辞書にのっている一般的な単語を 2 ~ 3 組み合わせて使うことです。 次のようなパスワードは、辞書攻撃(opens in a new tab)として知られる単純なハッキングの攻撃に逢いやすく危険です。

脆弱なパスワード例: CuteFluffyKittens!

強力なパスワード例: ymv\*azu.EAC8eyp8umf

もう一つのよくある間違いは、簡単に推測される、もしくは ソーシャルエンジニアリング(opens in a new tab)を通して見つけることができるパスワードを使用することです。 パスワードに母親の旧姓、子供やペットの名前、生年月日を含めることは安全ではなく、ハッキングされるリスクが大きくなります。

パスワードのグッド・プラクティス:

  • パスワードジェネレータや入力フォームで許可される最長のパスワードを使用
  • 大文字、小文字、数字、記号を組み合わせる
  • パスワードに家族名などの個人情報を使用しない
  • 辞書に載っている一般的な単語を使わない

より強力なパスワードの作成の詳細(opens in a new tab)

パスワードの使い回しをしない

強力なパスワードであっても、情報漏洩によってパスワードが漏れた場合には保護されません。 Have I Been Pwned(opens in a new tab)というウェブサイトで、データベースに保存されている情報漏洩にあなたのアカウントが含まれているかどうかを調べることができます。 検索の結果、もしそのデータベースにあなたのアカウントがあれば、パスワードをすぐに変更してください。 すべてのアカウントで異なるパスワードにしておくと、いずれかのパスワードが漏洩したときに、ハッカーにすべてのアカウントにアクセスされるリスクを低減します。

パスワードマネージャーの使用

💡
パスワードマネージャーを利用すると、強力で一意のパスワードを作成し、それらを覚えておくことができます! パスワードマネージャーの利用を強く推奨します(多くは無料で利用可能)。

すべてのアカウントで固有の強力なパスワードを覚えておくことは理想的とはいえません。 パスワードマネージャーは、すべてのパスワードを安全に暗号化して保存し、強力なマスターパスワードを利用してそれらにアクセスすることができます。 また、新しいサービスに登録する際、強力なパスワードを提案するため、自分自身でパスワードを作成する必要がなくなります。 また、情報漏洩が起こった場合は、多くのパスワードマネージャーには通知機能があるため、悪意のある攻撃の前にパスワードを変更することができます。

パスワードマネージャーの使用例 (opens in a new tab)

パスワードマネージャー:

二要素認証の使用

あなたが紛れもなくご本人であることを証明するため、認証にはさまざまな証明方法があります。 これらは 認証要素 として知られており、主に次の三要素があります。

  • 自分自身が知っていること(パスワードやセキュリティ質問など)
  • 生体認証(指紋や虹彩/顔認証など)
  • 所有しているもの(スマートフォンのセキュリティキーまたは認証アプリ)

二要素認証(2FA)は、オンラインアカウントにセキュリティ要素を追加すると、パスワードだけではアカウントにアクセスすることはできなくなります。 最も一般的には、二つ目の要素は時間ベースのワンタイムパスワード (TOTP)として知られる、ランダム化された 6 桁のコードを使用します。このコードは Google Authenticator や Authy などの認証アプリからアクセスします。 時間制限のあるコードを生成するシードがあなたのデバイスに保存されているため、この要素は「所有しているもの」です。

🔒
注: SMSベースの2FAを使用するとSIMハイジャック(opens in a new tab)に遭う恐れがあり、安全ではありません。 最大限に安全を確保するためには、 Google Authenticator(opens in a new tab)またはAuthy(opens in a new tab) のようなサービスを利用してください。

セキュリティキー

二要素認証(2FA)をさらに強化させたい場合は、セキュリティキーの使用を検討してください。 セキュリティキーは、認証アプリと同じように動作する物理的なハードウェア認証デバイスです。 セキュリティキーの使用は、二要素認証(2FA)で最も安全な方法です。 これらのキーの多くは、FIDO ユニバーサル第二認証要素(U2F)規格を利用しています。 FIDO ユニバーサル第二認証要素(U2F)についての詳細はこちら(opens in a new tab)をご覧ください。

FIDO ユニバーサル第二認証要素(U2F)の詳細に関する動画

ブラウザ拡張機能のアンインストール

Chrome 拡張機能や Firefox のアドオンなどのブラウザ拡張機能は、便利なブラウザ機能を強化し、ユーザーエクスペリエンスを向上させることができますが、リスクが伴います。 デフォルトでは、ほとんどのブラウザ拡張機能は「サイトデータの読み取りと変更」の権限を要求し、データに対してほとんど何でもできるようにします。 Chrome 拡張機能は常に自動的に更新されるため、以前は安全であった拡張機能であっても、悪意のあるコードを含むように更新されてしまう可能性があります。 ほとんどのブラウザ拡張機能は、データを盗もうとしていませんが、それらができるということを認識しておく必要があります。

安全性を確保するためのヒント:

  • 信頼できるソースからのみブラウザ拡張機能をインストール
  • 未使用のブラウザ拡張機能を削除
  • 自動更新を無効にするため、ローカルから Chrome 拡張機能をインストールします (上級者向け)

ブラウザ拡張機能に関するリスクの詳細(opens in a new tab)

仮想通貨セキュリティ入門

知識のレベルアップ

一般的に、仮想通貨で詐欺の被害に遭ってしまう最大の理由の 1 つは理解の不足です。 例えば、イーサリアムネットワークが分散化されており、イーサリアムを所有する者はいないことを理解していないと、カスタマーサービスエージェントを装う者に「秘密鍵を教えると失われた ETH が返ってくる」というような嘘に簡単に騙されてしまいます。 イーサリアムの仕組みについての知識を得ることは大切です。

ウォレットのセキュリティ

絶対に秘密鍵を他人に教えない

どんな理由があっても、秘密鍵は絶対に他人に教えないでください!

ウォレットの秘密鍵は、イーサリアムウォレットのパスワードとして機能します。 秘密鍵を教えてしまうと、あなたのウォレットアドレスを知っている人が、あなたのアカウントの全資産を盗むことができます!

シードフレーズ/秘密鍵のスクリーンショットを撮らない

シードフレーズや秘密鍵のスクリーンショットを撮ると、スクリーンショットがクラウドに同期され、ハッカーにアクセスされる危険性があります。 クラウドから秘密鍵を取得することは、ハッカーよく行う攻撃ベクトルです。

ハードウェアウォレットの使用

ハードウェアウォレットは秘密鍵をオフラインで保存します。 ハードウェアウォレットは、秘密鍵を保存するための最も安全な選択肢と考えられています。

秘密鍵をオフラインで保存すると、たとえハッカーがコンピュータをコントロールしたとしても、秘密鍵がハッキングされるリスクを大幅に軽減します。

ハードウェアウォレット:

送信前にトランザクションを再確認

誤ったウォレットアドレスに仮想通貨を送信してしまうことはよくある間違いです。 イーサリアム上でトランザクションを送ると取り消しができません。送信先のアドレスの所有者を知っていて、あなたが送金した額を返金してくれるように説得することができなければ、失ったお金を取り戻すことはできません。

トランザクションを送信する前に、送信先アドレスが、意図する受信者のアドレスと正確に一致することを常に確認してください。 また、スマートコントラクトを使ってやり取りする場合にも、署名する前にトランザクションメッセージを読むことをお勧めします。

スマートコントラクトの使用限度額を設定

スマートコントラクトとやり取りする際は、出金限度額を無制限にしないでください。 出金限度額を無制限にすると、スマートコントラクトがあなたのウォレットの資産をゼロにしてしまう可能性があります。 トランザクションに必要な金額のみを限度額に設定してください。

多くのイーサリアムウォレットは、アカウントの資産が空になってしまうことを防ぐため、利用限度額の設定ができます。

代表的な詐欺

詐欺師は常にあなたの資金を盗む方法を探しています。 詐欺を完全に阻止することは不可能ですが、使用されている手法を把握することによって、手口を見抜くことができます。 詐欺には多くのバリエーションがありますが、一般的には同じようなパターンです。 少なくとも、次のことにご留意ください。

  • 常に警戒を怠らない
  • 無料または割り引かれた ETH を誰かがくれるはずはない
  • 秘密鍵や個人情報を教えない

プレゼント詐欺

暗号通貨の最も一般的な詐欺の 1 つは、プレゼント詐欺です。 プレゼント詐欺は多くの手口がありますが、一般的な方法は、指定されたウォレットアドレスに ETH を送金すると、ETH が 2 倍になって返ってくるというものです。 口座確認のために仮想通貨を送ると、2 倍にしてプレゼントするなどの手口です。

通常、これらの詐欺は、無料のプレゼントに対し時間制限を設け、意思決定を鈍らせ、偽りの緊急性を装います。

ソーシャルメディアのハッキング

この種の詐欺で注目を集めたのは、2020 年 7 月に著名な有名人や組織の Twitter アカウントがハッキングされ、 ハッカーが著名人を騙りハッキングしたアカウントでビットコインのプレゼント告知を投稿した事件です。 詐欺のツイートはすぐに気づかれ、削除されましたが、ハッカーは 11 ビットコイン(2021 年 9 月時点で 50 万ドル)を持ち逃げしました。

Twitterでの詐欺行為 (opens in a new tab)

著名人からのプレゼント

著名人からのプレゼントもよくある詐欺の手法の一つです。 詐欺師は、著名人のビデオインタビューや講演会を使い、YouTube でライブ配信します。著名人があたかもライブで暗号通貨のプレゼントのインタビューをしているかのように見せかけます。

Vitalik Buterin がこの詐欺で最も頻繁に使用されますが、暗号通貨に関わる Elon Musk 氏や Charles Hoskinson 氏など他の多くの著名人も利用されています。 著名人を関与させることで、詐欺のライブ配信が正当なものであるかのように見せかけます(怪しそうだけれど、Vitalik が関与しているので大丈夫に違いないと信用性を高めます)。

プレゼントは常に詐欺です。 これらのアカウントに資金を送ると、永久に戻ってきません。

YouTubeでの詐欺行為 (opens in a new tab)

サポート詐欺

暗号通貨は比較的歴史が浅く、誤解されやすい技術です。 この点を悪用した詐欺が、人気のあるウォレット、取引所、またはブロックチェーンのサポート担当者をかたる、なりすましサポート詐欺です。

イーサリアムについての議論の多くはディスコードで行われます。 サポート詐欺師はディスコードのパブリックチャンネルで質問をしているターゲットを探し、「サポートを提供します」というようなプライベートメッセージを送信します。 そうして信頼を構築することによって、詐欺師はあなたを騙し、あなたの秘密鍵を明らかにさせるか、詐欺師のウォレットに資金を送らせようとします。

ディスコード・サポート詐欺 (opens in a new tab)

原則として、スタッフはプライベートな非公式なチャネルを介して、連絡を取ることはありません。 サポートを受けるときには、次の基本的なことにご注意ください。

  • 秘密鍵、シードフレーズ、パスワードを共有しない
  • あなたのコンピュータへのリモートアクセスを許可しない
  • 組織の指定されたチャネル外では連絡しない
🔒
注: サポート詐欺はよくディスコードで起きていますが、暗号通貨に関する議論が行われているチャットアプリケーションや電子メールなどでも起きる可能性があります。

「ETH2」トークン詐欺

マージの準備段階で、「ETH2」という用語の混乱を悪用し、ユーザーに ETH を「ETH2」トークンとして交換させようとする詐欺が横行しました。 マージにより導入された「ETH2」や他の新しいトークンなどはありません。 マージ前に所有していた ETH は、現在も何も変わることなく、同じ ETH です。 ETH に関しては、プルーフ・オブ・ワークからプルーフ・オブ・ステークへの移行により、何かをする必要は一切ありません

ETH を入金すれば「ETH2」が戻ってくるという「サポート担当」を偽る詐欺があります。 公式のイーサリアムサポートというものはなく、新しいトークンも存在しませんのでご留意ください。 また、ウォレットのシードフレーズを誰にも教えないでください。

注:ステークされた ETH を表す、Rocket Pool の rETH、Lido の stETH、Coinbase の ETH2 などデリバティブトークン/ティッカーがありますが、これらは「移行」する必要があるものではありません。

フィッシング詐欺

フィッシング詐欺もウォレットの資金を盗むために増えてきています。

フィッシングメールにより、リンクをユーザーにクリックさせ偽のウェブサイトへ誘導し、 シードフレーズの入力、パスワードのリセット、または ETH の送金をさせようとします。 また、コンピュータのファイルに詐欺師がアクセスできるようにするマルウェアを知らず知らずのうちにインストールさせるフィッシングメールもあります。

もし差出人不明のメールを受け取った場合は、次のことにご注意ください。

  • 知らないメールアドレスから送られたリンクや添付ファイルを開かない
  • 個人情報やパスワードを誰にも漏らさない
  • 差出人不明のメールは削除する

フィッシング詐欺の回避策の詳細(opens in a new tab)

暗号通貨取引ブローカー詐欺

暗号通貨取引ブローカー詐欺師は、暗号通貨ブローカーの専門家を名乗り、お金の運用をすると勧誘する手口です。 その際、非現実的な運用益が保証されます。 詐欺師はあなたの資金を受け取った後、さらなる投資利益を見逃さないように、より多額の資金を送るよう誘導します。もしくは忽然と姿を消す場合があります。

これらのブローカーを装う詐欺師達は、YouTube で偽のアカウントを使ってそのブローカーに関する何気ない会話を始め、ターゲットを探します。 これらの会話は正当性を高めるためしばしば高評価がつけられていますが、それらの高評価はすべてボットアカウントによるものです。

あなたに代わって投資をしようとするインターネットの見知らぬ人を信頼しないでください。 暗号通貨を失うことになってしまいます。

YouTube取引ブローカー詐欺 (opens in a new tab)

暗号通貨マイニングプール詐欺

2022 年 9 月現在、イーサリアムのマイニングはできなくなりました。 しかし、マイニングプール詐欺はまだ存在しています。 マイニングプール詐欺では一方的な連絡を受け、イーサリアムマイニングプールに参加すると、大きな利益が得られると持ちかけます。 詐欺師は勧誘を続け、たとえどれだけ時間がかかっても連絡を取り続けます。 イーサリアムマイニングプールへの参加時に「ETH を作るためにあなたの暗号通貨を使用し、配当金は ETH で支払われる」と説得を試みます。 参加するとわずかながらも利益をあげますが、 これはより多額の投資をさせるための手口です。 最終的に、あなたの資金は見知らぬアドレスに送られてしまい、詐欺師は姿を消します。あるいは、最近の事件では連絡を取り続けるケースも見られます。

要するに、SNS 上でマイニングプールへの参加を呼びかける人には注意が必要です。 一度あなたの暗号通貨を失うと、取り戻すことはできません。

留意事項:

  • あなたの暗号通貨でお金を稼ぐ方法について連絡してくる人には、注意してください。
  • ステーキング、流動性プール、または他の暗号通貨の投資方法について、ご自身で調べてください。
  • 詐欺に見られるスキームが正当なものであることは、ほとんどありません。 もし仮に適正なものであったならば、おそらくそれが主流になっていて、すでに聞いたことがあるはずです。

マイニングプール詐欺で 20 万ドルを損失(opens in a new tab)

エアドロップ詐欺

エアドロップ詐欺は、悪意のある NFT やトークンをあなたのウォレットにエアドロップし、覚えのないエアドロップされた資産を調べるための詐欺ウェブサイトに誘導します。 調べようとすると、イーサリアムウォレットでサインインし、トランザクションを「承認 」するよう促されます。 このトランザクションは、あなたのアカウントを侵害し、公開鍵と秘密鍵を詐欺師に送信してしまいます。 この種の詐欺の異なる手口として、詐欺師のアカウントに送金するトランザクションを承認させるものもあります。

エアドロップ詐欺の詳細(opens in a new tab)

参考文献

ウェブセキュリティ

暗号資産のセキュリティ

詐欺被害にあわないために

この記事は役に立ちましたか?