最近ハッキング被害に合い仮想通貨を盗まれてしまった方々の発言をよく目にします。
仮想通貨投資はしているけど、IT知識に疎い方は是非ご一読ください。
なお、オンラインバンキング、証券口座を利用されている方にも知っておいた方がよい内容ではあります。
たかっちは某IT企業で社内SEをしています。サーバ構築・運用を担当したこともありますので、セキュリティにはうるさいですよ♪
具体的にどのようにして仮想通貨を盗まれてしまうか、またその対策も含めて掘り下げてお話していきます。
目次
ハッキングとは
巷ではハッキングはセキュリティを破り不正を働くことを指していますが、正式にはクラッキングという言い方が正しいです。ハッカーというのは本当は悪いことをする人ではなく、ITに深い知識・技術を持つスーパーマンのことです。とはいっても一般的にはハッキングという言葉が認知されているようですね。本記事ではIT技術者に向けて発信するわけではありませんので、たかっちもハッキングという表現を使おうと思います。
「セキュリティを破り不正を働く」例としてはトロイの木馬、踏み台、パスワードクラック、不正侵入、遠隔操作等あげればキリがありません。今回は仮想通貨投資に関係しそうな項目のみピックアップしていきます。
仮想通貨は盗まれやすい
仮想通貨は送金を行う機能があります。ハッカーが送金を行うためのキー(取引所だとパスワード・二段階認証、自前ウォレットだとプライベートキー等)を特定し自分のウォレットアドレスに送金して盗むわけです。
対して証券口座ではどうでしょう。株取引をしている方ならご存知ですが、証券口座の出金は基本的に円建てでしかも本人名義の口座でしかできません。証券口座のアカウント情報を盗まれてしまったら、ハッカーが注文を出していたずらをすることはできますが、その程度です。従いまして、苦労してハッキングしても残高を盗むことはできませんので、証券口座についてはハッキング被害が起きにくいのです。
では銀行口座はどうでしょう。銀行口座は銀行、支店番号、口座番号を指定して第三者に送金することが出来ますので、ネットバンキングのアカウント情報を盗まれてしまったら、第三者に振り込まれてしまう可能性はあります。ですが、すべての銀行口座は本人認証されており、口座に個人情報が紐づけされています。ネットバンキングの被害はよく聞きますが、最近はワンタイムパスワードによる認証の導入も進んでおり、実際は犯人がかなりのコスト、労力、リスクをとらなければお金を盗むことは出来ません。
ハッキングによる盗難リスク(盗まれやすさ)を並べるとこんな感じですか
仮想通貨ウォレットor取引所>銀行口座>証券口座
仮想通貨のウォレットは利用者が誰の許可を得ることもなく自由に作成できます。本人情報を紐づける機構などなく、またあったとしてもそれを認証する機関も存在しません。ということで誰にも管理されない自由な世界が皮肉にもハッカーの格好のまとになってしまっているというわけです。
仮想通貨の管理場所は自前ウォレットと取引所の2パターンに大別できます。
自前ウォレットを利用している場合は安全?
自前ウォレットで仮想通貨を保有している方々のセキュリティ対策は単純です。それはウォレットのバイナリデータ、プライベートキー、また復元フレーズを厳重に管理すればよいのです。
ただし、この「厳重に管理」が予想以上に難しい・・・。例えばデスクトップウォレットについて以下の手順を踏んだとします。
- ウォレットを新規作成
- プライベートキー、パスフレーズを表示
- USBメモリにウォレットのバイナリデータ、プライベートキー、パスフレーズを保存
- USBを抜く
- プライベートキー、パスフレーズを非表示にする(ウィンドウを閉じる、PC上のファイルを削除する等)
さて、これで完璧でしょうか?確かにこれで問題ないように思えますが、2番の手順前にPCがウイルスに感染していたら、プライベートキー、パスフレーズが漏洩する可能性はゼロではありません。
またデスクトップウォレットのデータをPCに保存し、かつオンラインの状況でパスワードを入力しなければ残高確認も送金もできません。この時ウイルスに感染していたらパスワードとウォレットデータが盗まれる可能性もゼロではありません。
という感じで実はウイルス感染の可能性を残してしまうと、どのようにしても安全とは言えないのです。
ウイルス対策については後程説明するとして、そもそも自前のウォレット使う人の大半は取引所のハッキングが怖くて使っていますよね?そこまでセキュリティ意識があるのであれば、あまりけちけちせずハードウェアウォレットを使うようにしましょう。上記の厳重に管理すべきプライベートキーやパスフレーズ等を盗まれるリスクはハードウェアウォレットが極力排除してくれます。仮想通貨盗難が怖い方は以下記事もご参照の上ハードウェアウォレットの購入を検討してください。
ハードウェアウォレット(Ledger Nano S)を使おう!(購入編)
ハードウェアウォレット(Ledger Nano S)を使おう!(初期設定編)
取引所を利用する前提で考える
ハードウェアウォレットを使えるのであればそれが一番安全なのですが、デイトレード等している方はそういうわけにはいきませんよね。今回は取引所を利用している場合で出来る利用者側のハッキング対策を考えていきます。なお、Mt.GoxやCoinCheckの事件のように取引所自体がハッキングにあってしまった場合はどうしようもありません。(それが嫌な方はハードウェアウォレットで保管しましょう)
取引所のアカウントはなぜハッキングされる?
アカウント情報が漏洩するパターンとしてはウイルス感染やフィッシングサイトがあります。
キーロガー
キーボードでタイプした文字のログをとって、何かしらの経路でハッカーに情報が送信されます。クリップボード内の文字列も盗まれる可能性があります。キーロガーが仕込まれてしまった場合は、どんな複雑なパスワードを使っていても意味がありません。二段階認証の対策をしていたとしても、打ち込んだ直後にハッカーにタイプした文字列が送信されて、そのまま自動的にハッカーのマシン上で取引所にログイン&送金されるといった流れで仮想通貨が盗まれます。
遠隔操作ウイルス
CoinCheckのNEM盗難も遠隔操作ウイルスが原因でした。遠隔操作ウイルスは被害リスクとしては最強です。何しろPCをリモート操作できてしまいますので、先ほどのキーロガーで説明したリスクに加えて、以下被害に合う可能性があります。
- ブラウザの自動キャッシュ保存による取引所アカウントハッキング
- 端末から参照可能なファイルの漏洩
- 他端末も含めたウイルスの拡散
パスワードをランダムで非常に長い複雑な文字列にして、Excelファイル等に保存しておき、ログインするときはそのファイルを開いて張り付けている方がいるかと思います。まあこれはこれで効果がないとまでは言いませんが、ウイルスに感染してしまったら、無意味です・・、というかそのExcelファイルを転送されて、全取引所のアカウント情報が一気に流出するリスクすらありますので、一長一短ではあります。またExcelファイルをパスワードロックしていても解除する際に中の情報を全部抜き取られます。遠隔操作ウイルスに感染した場合は、画面を常に覗き見されているという認識を持ちましょう。
フィッシングサイト
取引所にアクセスしたつもりが、ハッカーが作った取引所に似せてあるダミーサイトにアクセスしてしまい、アカウント情報を入力することでアカウント情報が漏洩します。
ウイルスの感染ルート
ほとんどの場合は取引所にアクセスしている端末で利用者が何かしらのアクションを起こすことによって、ウイルスに感染しアカウント情報が漏洩します。絶対というわけではありませんが、基本的にLAN接続しただけではハッキング被害はおきません。さて、そのウイルスの感染ルートですが、主には以下の通りです。
- メールを開く
- ブラウジング(URLクリック)
- ファイルの実行(メール添付ファイル、Webの直リンク含む)
利用者側のセキュリティ対策
仮想通貨取引所を利用する上でのセキュリティ対策をどうすればよいか、基本から応用まで幅広く紹介していきます。
アカウント
取引所のアカウントに関するセキュリティです。基本ですが、以下実施することをお勧めします。
- パスワードは文字数多め、英数大文字小文字記号を織り交ぜる
- メールアカウントも含め、パスワードは使いまわさない。
- パスワードをオンライン状態のファイルに平文で保存しない(USBに保存してオフライン保存するのはOK)
- パスワードをクラウド(Google Driver等)に保存しない(これは暗号化してもNG)
- ログイン時、出金時の二段階認証をONにする
- 出金時のメール認証、SMS認証、もしくはその両方をONにする
またパスワードをクラックされる場合、パスワードの漏洩に起因することがほとんどです。つまりパスワードを解読されたわけではないのですよ。もちろん類推されやすいワード(名前、誕生日等)や複雑でない文字列を使ってしまっては解読されてしまう危険はありますが、パスワードをランダム文字列で40文字にするとかは個人的にはやりすぎだと感じます。実用に耐えられないセキュリティ対策をしてもしょうがありませんので、可能な範囲での文字数にしてください。たかっちは10文字以上もあれば十分だと思っています。
ブラウザの自動認証やパスワード情報管理したプラグイン等については、たかっちとしては割と使っていいと考えています。というのも、「手打ちすれば安全なのか?」と言われたら、そういうわけでもありませんので、どのみちリスキーなのであれば便利な方をとればよいかと思います。(ただし、Googleアカウントによる認証データのchrome同期をするのであれば、取引所で使うメールアドレスとは違うアカウントを利用しましょう。)
ハッキングされたら手打ち・複雑なパスワード・自動保存も全部突破されます。
ブラウザの自動認証保存は、暗号化してキャッシュに保存されていますので、ブラウザの自動認証からパスワード文字列を抜き取られるリスクは低めです。もちろんハッキングにより遠隔操作されてしまったら、ブラウザを操作されて自動認証でログインを突破されてしまいますけどね。
秘密情報の保管
複雑なパスワードや二段階認証のQRコード等の秘密情報はUSBメモリ等にバックアップしておく必要があります。以下ポイントを守って秘密情報を保管することをお勧めします。
- USBメモリを複数購入し、その全てに秘密情報を保存(USBの故障対策)
- 秘密情報が入ったUSBメモリをPCに接続するときはオフラインの状態で行い、必要最小限の情報をコピペして抜き取ったらUSBメモリを抜いてからオンラインにする
- USBメモリは暗号化し、パスワードロックをかける
上記は自前ウォレットのプライベートキーや復元フレーズなどをバックアップする際も同様の対策となります
USBメモリは
こんな感じの安いやつでいいですよ。たかっちは3つ買ってあります。キー情報は忘れてしまう場合もありますので、安全な形でバックアップとっておきたいですね。また災害対策として銀行の貸金庫で保管もしておくとベスト。
ネットワーク
皆さんルーターを使わずにモデムから直接続している人はいませんか?またマンションや寮などで宅内配線がされていて、その配線にPCを直接接続している人はいませんか?
そういう人は非常に危ないので、家と外との境界(通常であればモデムのLAN接続ポート)には必ずルーターをつなぐようにしましょう。我が家はNECのAtermシリーズが好きで昔から使っています。
最近はプロバイダーから至急されるモデム自体にルーターの機能がついてたりします。その場合は別途ルーターを購入する必要はありません。
ルーターを中継することで外部からの不正侵入をガードする効果があります。インターネット直にPCをつなぐということは、戦争で兵士が敵陣に一人置き去りにされたようなもの・・・。必ず用意してください。またこの対策はネットワークの利用開始の段階から実施することが重要です。一昔前はインターネット直にセキュリティ対策なしのPCをつなぐと30秒でウイルスに感染するとまで言われていました。現在は改善されているかと思いますが、ルーターを中継して利用するようにしましょう。「Wifiなんて簡単に突破できる」なんて言う人がたまにいますが、そんな簡単にできませんよ。
なお、ルーターのセキュリティ設定についても言えることはたくさんありますが、細かく書きだすと大変すぎるので省略・・。簡単な説明ではありますが、以下実施することをお勧めします。
- ルーターのファームウェアは定期的にアップデートする
- 管理コンソールのID、パスワードを変更する(パスワードは英数大文字小文字記号混ぜる)
- Wifiのパスワードを変更する(パスワードは英数大文字小文字記号混ぜる)
- 無線LANを利用する場合はMACアドレスフィルタリングを行う
- ポートはむやみに開けない(初期状態では閉じています)
ファームウェアアップデートするとルーターが再起動してIPアドレスが変わる可能性があります。取引所のAPIを利用して、かつIPアドレス制限等している場合は再設定が必要となりますのでご注意ください。
ウイルス対策ソフト
PC
LAN内での利用に限定してもウイルス感染は100%防げません。LAN内につなぐ全ての端末にウイルス対策ソフトをインストールしてください。トレードするPCだけではだめです。別端末にウイルスが感染するとそこを踏み台にしてトレードするPCにウイルスを仕込まれたり、遠隔操作等される可能性があります。ちなみにたかっちは動作が軽快なesetを使っています。
esetは安くて、5台までいけて、スマホ版もあるのでお勧めですよ♪またフリーのウイルス対策ソフトでも、セキュリティは強化出来ます。必ずインストールしておきましょう。
※2021/5/9追記 Windowsにデフォルトで搭載のWindowsセキュリティが優秀という情報をよく目にします。私も事実その通りだと思いますが、なかなかコメントしづらい内容です。ウイルス対策ソフトをインストールするかどうかは各自ご判断願います。
スマートフォン
スマホも無線Wifiで接続するであれば、先ほどの説明と同じでウイルス対策が必要です。以下ポイントを押さえておけばとりあえずはOKです。
- Androidにはウイルス対策ソフトをインストールする
- iphoneはウイルス対策ソフト不要だが、脱獄しない
- Android/iphoneともに認可されているアプリ以外使用しない
iphoneのセキュリティはかなり高いみたいですね。大事をとってスマホはiphoneにする(もしくはスマホトレード用にiphoneを別途用意する)ようにしたほうがよいかもしれません。たかっちはApple信者ではありませんが、現在iphone8を利用中です。
メール
メールはパスワードの再発行、取引所の認証等に使いますので、実はハッキングされると非常にまずい防衛ラインです。絶対死守したいところですが、とりあえず思いつくところで以下対策をお勧めします。
- 迷惑メールフィルタが弱いメールサービスは使わない
(Gmailは何気にお勧めです。hotmail、yahooメールは非推奨) - パスワードは文字数多め、英数大文字小文字記号を織り交ぜる
- セキュリティ対策してない端末では取引所で利用しているメールアカウントでログインしない
- トレードするPC内では、取引所で利用しているメールアカウントでメールサービスを利用しない
ブラウジング
フィッシングサイトを踏まないため以下対策が必要となります。
セキュアブラウザ
取引所を利用する場合はセキュアブラウザを使いましょう。フィッシングサイトをブロックしてくれます。セキュアブラウザはウイルス対策ソフトに付属していると思いますので、それを使いましょう。iphoneでしたら、Kaspersky Safe Browserなどは無料だしお勧めです。(たかっちも使っています)
お気に入りへの登録
取引所のURLはブラウザのお気に入りに登録しておき、そこからアクセスするようにしましょう。
なお、ルーターの脆弱性を突かれるとDNS機能を弄られて、正しいURLにアクセスしてもフィッシングサイトに誘導される可能性があります。ネットワークの項目でも記載していますが、ルーターのファームウェアアップデートはこまめに実施するようにしてください。
その他気を付けること
取引所にアクセスした際に以下のような違和感が少しでもあったら、パスワードの入力をぐっとこらえて冷静になり、まずは公式サイトやTwitter等情報収集しましょう。
- ログイン画面の見た目がいつもと違う
- ブラウザの自動認証機能で自動ログインできるはずが、できない
- SSL証明書の認証エラーが出る
SSL証明書の認証情報ですが、通常はブラウザのリンク入力欄に何かしらの表示があると思います。
これはGoogle Chromeのリンク入力欄です。証明書が認証OKの場合は上、認証エラーの場合は下。取引所のページにアクセスした際に認証エラーになっている場合はフィッシングサイトの可能性大です。こういうところもしっかり確認するようにしましょう。
さらにもう一段セキュリティレベルを上げるためには
これまでにあげた対策を全て施しても、ウイルス感染ルートを考えるとやはりまだ少し心配ですが、加えて以下を実施すれば一般個人として出来る限りの対策になるかなと思います。ちょいとコストかかりますが、仮想通貨で稼いでいる人たちはこのくらいの費用大したことありませんから実施されることをお勧めします。
仮想通貨トレード専用のPCの用意
ウイルス感染ルートはメール、URLクリック、ファイルなので、これらを全く実施しない仮想通貨トレード専用PCを別に用意すればハッキング被害のリスクを極限まで排除できます。仮想通貨トレード専用PCは以下ルールを守って利用することを想定しています。
- ブラウザでは仮想通貨取引所以外アクセスしない(ネットバンキング利用も兼ねたいのであれば、ネットバンクをアクセス許容範囲に含めてよいです)
- メールアカウントはログインしない(メールを開けない状態を作るため)
- LAN内のファイル共有には極力アクセスしない(他端末からのウイルス感染を防ぐ)
- トレードに不要なアプリケーションはインストールしない、使わない
- トレード専用PC以外のPCでは取引所にアクセスしない
ハッキング被害にあう経路は大体決まってますよ。SNSやメール等でコミュニケーションしている最中にウイルスが仕込まれているURLや添付ファイルを開いてしまうことで、ウイルスに感染するんです。とはいってもSNSやメールを使うなってわけにもいきませんので、一層のこと別のトレード端末を用意しちゃおうってわけです。
PCですが、高スペックは不要ですから、安価なスティックPCとかでいいと思います。これなら安いし、場所もとらないし、取引所のブラウジングをするだけならこの程度で十分かと思っています。
たかっちもつい最近スティックPCを買いました。仮想通貨トレード専用PCの用意は本当にお勧めですよ。セキュリティ対策レベルが全然違います。
がちトレーダーの皆さんは取引所トレードもハイパフォーマンスで行いたいでしょうから、その場合はもちろんスティックPCではなく普通にハイスペックPCを買っちゃってください。複数PCでディスプレイを共用したいのであれば、HDMIのスイッチャーも買っておくとよいかと思います。
LANの隔離
これは一日中トレードしている(トレード専用PCの稼働時間が長い)ガチトレーダーさんにご提案。宅内のネットワークからさらにルーターをもう一発かましてトレード用PCだけ別ネットワークとして隔離してください。絵にするとこんな感じです。
トレードPCの隔離は無線接続によるLAN内侵入の可能性を排除するためにも有線LANルーターがむしろよいかと思います。(家に無線LANルータがある場合は無線機能をオフにして代用してもよいです。)購入する場合は、しょぼいルーターでもOKです。
しょぼくてもよいですけど、ルーターにしてくださいね。スイッチングハブは見た目似てますけど、通信をブロックする効果はないので駄目です。ご注意を。
LANを隔離することで、他端末を踏み台にされて、トレード用PCがハッキングされるリスクを低減できます。自宅LANでプリンタやファイル共有を利用しているとルーティング設定が要りますので、LANの隔離は少々上級者向けです。
トレード専用PCの用意だけでもかなりのハッキング対策になりますので、あまり手間をかけたくない方はLANの隔離まではしなくてもよいですが、隔離しないのであれば、トレードするとき以外はシャットダウンしてくださいね。
iphoneでしかトレードしない
もう一層のことセキュリティに強いiphone一本で突き進むパターンですね。PCで一切ログインなし!お金も手間もかけずにセキュリティ確保する手段になります。
まあでもiphone利用だけだと正直不都合ありまくりなので、あまりお勧めしませんね。印刷もできないだろうし、USBは接続できないし、秘匿情報のバックアップは全部手書きになります。確定申告とか取引履歴を出力して印刷必要ですし、無理ゲーですねw
さいごに
完璧なハッキング対策と言えるものはないのですが、二重三重に対策をすることで極限までハッキングリスクを抑えることが出来ます。ハッキングされて資産を盗まれてからでは遅いです。皆さん早め早めの対策を。
ブログランキングに参加しています。
応援よろしくお願いします!
ローリスク戦士たかっち
コメントを残す