暗号資産ウォレットのセキュリティ対策
この記事は約 5 分で読めます
暗号資産 (仮想通貨) の普及に伴い、ウォレットのセキュリティが 資産保護の最重要課題となっています。 Chainalysis の 2024 年レポートによると、暗号資産関連の ハッキング被害額は年間約 37 億ドル (約 5,500 億円) に達し、 個人ウォレットからの流出も全体の約 20% を占めています。 銀行口座と異なり、暗号資産は秘密鍵を失えば永久に取り戻せず、 不正送金されてもブロックチェーンの不可逆性により 取り消すことができません。 本記事では、暗号資産ウォレットの種類ごとのリスクと、 秘密鍵・シードフレーズの安全な管理方法を解説します。 パスつく.com で取引所アカウントのパスワードを強化する方法も紹介します。
暗号資産ウォレットの種類とリスク
ホットウォレットのリスク
ホットウォレットは、インターネットに常時接続された状態で 暗号資産を管理するウォレットです。取引所のウォレット、 ブラウザ拡張型ウォレット (MetaMask など)、 モバイルアプリ型ウォレットがこれに該当します。 利便性が高い反面、マルウェア感染やフィッシング攻撃による 秘密鍵の窃取リスクが常に存在します。 2024 年には MetaMask を模倣した偽の拡張機能が Chrome ウェブストアに複数出現し、 インストールしたユーザーの秘密鍵が窃取される事例が報告されています。
取引所のウォレットは、取引所自体がハッキングされた場合に 資産を失うリスクがあります。2018 年の Coincheck 事件では 約 580 億円相当の NEM が流出し、2022 年の FTX 破綻では 顧客資産約 80 億ドルが凍結されました。 取引に必要な最小限の資産のみをホットウォレットに保管し、 長期保有分はコールドウォレットに移すことを推奨します。 目安として、総資産の 10% 以下をホットウォレットに留め、 残りはオフライン環境で管理するのが安全です。
コールドウォレットの安全性
コールドウォレットは、インターネットから切り離された状態で 秘密鍵を管理するウォレットです。ハードウェアウォレットや ペーパーウォレットがこれに該当します。 オンライン攻撃のリスクがないため、大量の暗号資産を 長期保管するのに適しています。 ハードウェアウォレットは秘密鍵をデバイス内の セキュアエレメント (耐タンパー性チップ) に格納し、 署名処理もデバイス内で完結するため、 接続先の PC がマルウェアに感染していても 秘密鍵が外部に漏洩しない設計になっています。
コールドウォレットの安全性を高めるには、セキュアエレメント搭載のハードウェアウォレット (Amazon)の導入が効果的です。 ただし、ハードウェアウォレットにも注意点があります。 中古品や非正規販売店から購入した場合、 ファームウェアが改ざんされている可能性があるため、 必ずメーカー公式サイトから新品を購入してください。
秘密鍵とシードフレーズの管理
シードフレーズの安全な保管
シードフレーズ (リカバリーフレーズ) は、ウォレットを復元するための 12 語または 24 語の英単語の組み合わせです。 BIP-39 規格では 2,048 語の単語リストから選ばれるため、 12 語のシードフレーズは 2 の 128 乗 (約 3.4 × 10 の 38 乗) 通りの 組み合わせを持ち、総当たりでの推測は事実上不可能です。 このフレーズを知っている人は、ウォレット内のすべての資産に アクセスできるため、最高レベルのセキュリティで保管する必要があります。
シードフレーズをデジタルデバイスに保存してはいけません。 スクリーンショット、テキストファイル、クラウドストレージへの保存は すべて危険です。2023 年には iCloud の同期機能を通じて シードフレーズのスクリーンショットが流出し、 約 650 万ドル相当の暗号資産が盗まれた事例が報告されています。 紙に手書きで記録し、耐火金庫に保管するか、 金属製のバックアッププレートに刻印して保管してください。 金属プレートは火災 (最大 1,500°C) や水害にも耐えるため、 紙よりも長期保管に適しています。 複数の場所に分散して保管することで、 災害や盗難による全損リスクも軽減できます。
秘密鍵の取り扱い
秘密鍵は、暗号資産の送金に必要な暗号学的な鍵です。 楕円曲線暗号 (secp256k1) に基づく 256 ビットの乱数であり、 この鍵から公開鍵とウォレットアドレスが一方向に導出されます。 秘密鍵を他人に教えたり、Web サイトに入力したりしないでください。 正規のサービスが秘密鍵の入力を求めることはありません。 秘密鍵の入力を求めるサイトやアプリは、 ほぼ確実にフィッシング詐欺です。 よくある誤解として「秘密鍵をパスワードマネージャーに保存すれば安全」 と考える方がいますが、パスワードマネージャー自体が 侵害された場合のリスクを考慮すると、 オフラインでの物理的な保管が最も安全です。
取引所アカウントの保護
パスつく.com で強力なパスワードを設定する
暗号資産取引所のアカウントは、金融資産に直結するため 最高レベルのパスワード強度が求められます。 パスつく.com で英大文字・英小文字・数字・記号を含む 24 文字以上のランダムなパスワードを生成してください。 24 文字のランダムパスワードは約 10 の 47 乗通りの組み合わせを持ち、 現在の計算能力では解読に数兆年を要します。 取引所ごとに異なるパスワードを設定し、 パスワードマネージャーで管理します。 API キーを発行している場合は、API キーのパスワードも 同様に強力なものを設定し、不要な権限 (出金権限など) は 無効にしておいてください。
二段階認証の必須化
取引所アカウントには、認証アプリ (Google Authenticator、Authy) または ハードウェアセキュリティキーによる二段階認証を必ず設定してください。 TOTP (Time-based One-Time Password) 方式の認証アプリは 30 秒ごとに 6 桁のコードを生成し、 パスワードが漏洩しても第三者がログインできない防御層を提供します。 SMS 認証は SIM スワップ攻撃のリスクがあるため、 暗号資産の管理には推奨しません。 2023 年には SIM スワップ攻撃により暗号資産取引所の アカウントが乗っ取られ、約 2,400 万ドルが不正送金された 事例が米国で報告されています。 出金時の二段階認証も有効にし、 不正送金を防ぐ追加の防御層を設けてください。
暗号資産のセキュリティを体系的に学ぶには、ブロックチェーンのウォレットセキュリティ実践書 (Amazon)が参考になります。
暗号資産を安全に守るために
暗号資産のセキュリティは「自己責任」の原則に基づいています。 銀行のような補償制度がないため、自分自身で資産を守る必要があります。 パスつく.com で取引所アカウントのパスワードを強化し、 シードフレーズをオフラインで安全に保管し、 二段階認証を全アカウントに設定することで、 暗号資産を安全に管理してください。 セキュリティ対策の優先順位としては、 まずシードフレーズの物理的な安全保管、 次に全アカウントへの二段階認証の設定、 そして取引所ごとの固有パスワードの設定が重要です。 これら 3 つの対策を徹底するだけで、 個人ウォレットに対する攻撃の 90% 以上を防御できます。