でも沢山ハッキング手法がありそうだし、どんな対策をしたら良いのか、沢山情報がありすぎて混乱して良くわからない!
メタマスクのハッキング手法のほとんどが5つの手法に集約されます。
本記事では、その5つの手法とそれぞれに適切な対策を解説しています。
①クラウドサービスのハッキング
グーグルスプレッドシートやエバーノートなどのクラウドストレージサービスがハッキングされ、そこで管理しているパスワードや秘密鍵が盗まれます。
クラウドストレージサービスはどの端末からも簡単にアクセス出来るので、よく使うパスワードの保存には非常に適しています。
ですが、24時間オンラインに接続されているクラウドストレージサービスはセキュリティー面で色々な脆弱性がある為、腕の良いハッカーがその気になれば簡単にセキュリティーを突破されてしまいます。
私も2021年の夏頃に、グーグルスプレッドシートでメタマスクの全てのログイン情報を管理していた事が原因で、そのメタマスクに入っていた資金を全てハッキングされました。
被害額は120万ほどです。
その後ハッキングされたトークンが値上がりして非常に辛い経験でした。その時の様子はこちらに書いております。
対策
クラウドストレージサービス(Googleスプレッドシート、エバーノート)ではメタマスクのログイン情報は絶対管理してはいけません。
ではどうやって管理するの?という事ですが、
- メタマスクをあまり使わない人→オフラインで複数箇所に紙で保管
- メタマスクを頻繁に使用する人→パスワード管理ソフト(私もこれです)
がおすすめです。
オフラインでの保管はハッキング対策としてはかなり強いですが、頻繁にメタマスクを立ち上げる方にはひたすらに入力が面倒です。
あと紙に控えたものが間違っていたり、控えた紙を噴出するリスクも少なからずあるのはオフライン管理は複数箇所で行いましょう。
パスワード管理ソフトは色々試しましたが、私は3つの鍵を全てBitwardenにて管理しています。
調べたら分かりますが、パスワード管理ソフトは「Bitwarden」一択ですね。
パスワード管理ソフトが信じられない!という方は、「秘密鍵」「シードフレーズ」「パスワード」の3つ全てを管理するのでは無く、ソフトを分けるとか、シードフレーズだけはオフラインでとか、分散するのが良いと思います。
私も初めはそうしてましたが、結局立ち上げが面倒で長続きしないんですよね。
あとBitwardenのセキュリティーの根本を理解するとその不安も無くなるかと思います(Bitwarden最強)
Bitwardenについてはこちらで解説しています。
②ヒューマンエラー(自爆)
自らのミスで資金を失うケースが多々あります。(ヒューマンエラー)
これは初心者や、気の緩んだ中級者に多いです。
- 秘密鍵、シードフレーズの紛失
- アドレスを間違えて送金する
- ネットワークを間違えて送金する
対策
送金の際は何度も確認する。それしか言えません。
アドレスを間違えて送金した場合は絶対取り戻せないので、もうそのトークンは諦めるしかありません。
次にネットワークの間違えに関してですが、メタマスクのアドレスはネットワークを変えても変わらない場合が多いのでその場合は紛失しません。
例えば、バイナンスからメタマスクにUSDTを送金する際、イーサリアムアドレスにBSCネットワークを使って送っても紛失せずにちゃんと送れます。
(メタマスクをBSCネットワークに切り替えると着金してます)
これはメタマスクのネットワークをEthereumからBSCに切り替えてもアドレスは変わらない為です。
ポイント
アドレスが違う場合はアウト
通常の取引所への送金はネットワークごとにアドレスが違うので漏れなくアウト。
メタマスクへ送金する場合も、ネットワークごとにアドレスが違う場合はアウト。
③偽サイト(フィッシング詐欺)
公式サイトを装い、サイトにアクセスさせてシードフレーズ、秘密鍵盗む手法です。
昔からある定番の手法ですね。
公式サイトを装う方法にもいくつかありますが、
- 偽メタマスクのポップアップを出して秘密鍵を要求
- メタマスク(取引所)などを装いメールしてくる
- Google検索してアクセスした先がメタマスクの偽サイトだった
などがあります。
色々なサービスの公式を装い、メタマスクを接続やシードフレーズの入力を要求して来るので要注意です。
マルウェア(ウィルス)に感染させるケースなどもあります。
マルウェアはどんなプログラムが組まれているか分からないから怖いですね。
メタマスクを立ち上げると偽メタマスクが立ち上がる、みたいなプログラムが組まれていたり、、、、
基本的に、偽サイトにフォレットを接続したり、シードフレースや秘密鍵を入力した時点でアウトです。
対策
- 仮想通貨系のサービスを立ち上げたりする時は必ず公式サイトから
- 怪しいサイト、ファイルは開かない
- 有料セキュリティーソフトを導入する
仮想通貨の業界は偽サイトだらけなので、Google検索とかは極力避けて、公式をブックマークしておいてそこからアクセスしましょう。
プロジェクトの公式サイトはコインマーケットキャップから調べてアクセスすれば安心です。
ウィルスバスターなどの有料セキュリティーソフトを使うのもおすすめです。
ウィルス感染のリスクのあるサイトは自分の承認が無いと開けなくなります。
ポイント
有料セキュリティーソフトの誤解
ウイルスバスターやノートンなどのセキュリティーソフトは、こちらからアクセスしようとする有害サイトや、PCの中に入っている有害ファイルにサクセスしようとした際はブロックしてくれますが、Wifi回線を使ってPCに侵入してくるものに対しては無防備です。
Wifi回線を使ってPCに侵入してくる驚異には後ほど紹介する「VPN」を使います。
④運営側にやられる
詐欺を目的とした運営に資産を盗まれたり、運営側がハッキングされるケースがあります。
悪意のあるエアドロップ(トークンの無料配布)
エアドロップで配られたトークンがマルウェアだった場合、同じウォレットに入っているトークンを全て盗まれます。
運営の持ち逃げ(ラグプル)
悪意のある運営に、ラグプル(持ち逃げ)されて資産を失うケースも非常に多いです。
ハッキングというか「裏切り」と言った方が正しいですが、マイナープロジェクトや、高APYのプロジェクトにステーキングしてたら、ある日突然運営が全てのトークンを持ち逃げされるというやつです。
組織ぐるみの犯行の場合もありますし、組織の中の一人の行動というパターンもあるので怖いです。
プロジェクトがハッキングされる
プロジェクト(プロトコル)自体がハッキングされるケースです。
パンケーキスワップなど信頼出来るプロトコルですが、V2に移行する前ににハッキングされた事例もあります。
ハッカーはどこかしらのバグなどを見つけてハッキングしてくるので、開発者側も必死ですがそれでも全てを防ぎきれないのが現状です。
対策
- エアドロップに参加する場合はメタマスクを分ける
- 怪しいプロジェクトに投資しない
メタマスクは何個でも作る事が出来るので、エアドロップに参加する場合は専用のメタマスクを作りましょう。
運営のラグプルに関しては、怪しいプロジェクトには投資しないという他ありません。
そもそも異次元の高APYのプロジェクトには私は絶対投資しません。
それ相応のリスクが必ずありますし、運営歴やバックにいる投資家、ファンドを精査して根拠をもって投資しましょう。
⑤無線LANからのハッキング
「公衆無線LAN」からハッキングされるパターンです。
ホテルやワーキングスペース、カフェなどの公衆無線LANはセキュリティーが非常に脆弱なのでハッキングリスクが極めて高いと言えます。
公衆無線LANを使用してメタマスクを開く際に入力するパスワードなどを、遠隔で見られている可能性があります。
2段階認証が無いメタマスクを公衆無線LANで開くと言うのはとにかく危険なのです。
公衆無線LANに限らず、自宅のWifiからもハッカーは侵入してきます。
私がまだ無知だっところ、メタマスクをハッキングされた経験があります。
その際は、ハッカーにWifiから侵入されてGoogleスプレッドシートに保管してあったメタマスクのログイン情報を盗まれました。
(セキュリティーエンジニアと一緒に検証しました)
対策
wifiを使ったハッキングは「VPN」を導入する事でほとんどが解決します。
VPNとはインターネット空間に自分専用の回線を設けるサービスで、あらかじめ定められたユーザーだけが利用でき、外部からのアクセスはできません。
色んな通信が交錯するインターネット空間で自分専用の回線を持ち、なおかつそれがトンネルで保護されているイメージです。
VPNは非常に安価で、どこで公衆無線LANに接続したとしても、同じ自分専用の回線からインターネットにアクセス出来きます。
強固なセキュリティーで保護されているので、私は自宅でもNordVPNというVPNを使用しています。
⑥DNSハイジャック(最強)
これめちゃくちゃ怖いです。
アクセスしたサイトが「ドメインはそのままに偽サイトにすり替わっている」のいうものです。
つまり、ブックマークから公式サイトに飛んでもアクセス先は偽サイトという事です。
この手法が発見(2021年3月)から結構立つので、各デックスとも対策はしていると思いますが、この様に新しいハッキング手法は次々に出てきます。
対策
PancakeSwapとCream Financeでこの被害がありましが、その際はメタマスクの秘密鍵を要求してくるというものでした。
つまり秘密鍵の入力を求められても入力しなければこのケースは問題ありませんでした。
「シードフレーズと秘密鍵は公式から入力を求められても入力しない」
というのはもはや常識ですので、普通に「ん?おかしいな?」ってなりそうですが。。。
とにかく「シードフレーズ」「秘密鍵」を入力するのは、自らアカウントを復元する時だけです。
全てに共通するハッキング対策
「メタマスクに資金を置かない」
メタマスクはあくまで資金の中継をするだけです。
メタマスクはこれまで説明してきた6つのハッキングリスクがあるので、長期間資産を保有するというのはオススメしません。
というか危険です。
ではどこで資産を保管するの?という声が聞こえてきますが、ハードウェアウォレットです。
ハードウェアウォレットは手元のオフラインで操作しないと資産を送金出来ないので
物理的に最強です。
私はCoolWalletProを愛用していますが、他にも用途に応じて何個かあります。
CoolWalletProについてはこちで解説しています。
※ハードウェアウォレットを狙ったマルウェアが発見されました。
Ledger NanoSで、トークンの送付先のアドレスをすり替えるものらしいです。
DEGさんはめちゃくちゃ玄人なので、気づいて被害には合わなかった様ですが、どこかのタイミングでマルウェアに感染していたのでしょう。
アドレスの確認の重要性が問われる恐ろしい事例です。
まとめ
- メタマスクの「シードフレーズ」「秘密鍵」「パスワード」は紙かパスワード管理ソフト(クラウドサービスはNG)
- メタマスクはトークンの中継に使う。保管はハードウェアウォレット
- 公共Fifiは使用しない。する場合はVPNを使う(家でもVPN推奨)
- 有料セキュリティーソフトを導入する
- 怪しいプロジェクトは触らない
- トークンを送金する際はアドレスを確認する
以下がハッキング驚異に対するセキュリティーのイメージです。
パソコンをハッキングされたとしても資産を盗まれる事はありません。
私が導入しているサービスは以下です。
- パスワード管理ソフト→Bitwarden(ビットウォーデン)
- ハードウェアウォレット→CoolWallet Pro(クールウォレットプロ)
- VPN→NordVPN
- セキュリティーソフト→ウイルスバスター
全てを導入すればハッキングリスクは極限まで少なくなりますが、VPNとセキュリティーソフトは基本的に有料のものしかありません。
原則原理を理解して適切な対策をする事が重要です。
例えばVPNを導入してメジャーなプロジェクトしか触らないのであれば、有料セキュリティーソフトでは無くPCにデフォルトで入っているものを使うでも良いと思います。
2022年現在出回っている主なハッキング手法6つとそれぞれの対策を解説してきました。
仮想通貨市場は発展途上が故、セキュリティーの脆弱性に問題があるものも多く存在します。
ハッキングほど理不尽なものは無くどれだけ資産を増やそうが一瞬で全て失います。
セキュリティー対策だけは万全にしておきましょう。