wallet(ウォレット) PR

【重要】メタマスクのセキュリティの危険性とハッキング事例について

  /
【重要】メタマスクのセキュリティの危険性とハッキング事例について
記事内に商品プロモーションを含む場合があります

暗号資産(仮想通貨)のウェブウォレットとして有名なメタマスク(Metamask)DEX(分散型取引所)やDeFi(分散型金融システム)の普及からかなりのユーザーが増加したのではないかと思っています。

しかしながら、オンラインで使用するメタマスクやトラストウォレット、トロンリンクなどのウォレットはユニスワップなどのDEXで使い勝手がいいのはもちろんですが、最近個人に向けたハッキングの被害が増加している状況です。

しかしながら、メタマスクはウォレットを生成する秘密鍵が知られると一気に送金をさせれます。

通常の仮想通貨取引所であれば送金時に2段階認証やメール認証がなどセキュリティがありますが、メタマスクには基本的にそれがないのです。

また2020年に世界的に有名なハードウェアウォレット、レジャーナノを販売するフランスのレジャー社が大規模なハッキングを受け個人情報が100万件以上流出しました。

その個人情報で対象のメールアドレスで仮想通貨を保有している人が分かったことになり、そのメールアドレスを使ってフィッシングのメールはもちろんこと、クラウドサービスからハッキングして秘密鍵を盗もうとする動きがあります。

秘密鍵は手書きで紙に書いて保管するなどオフライン上で管理。

●秘密鍵をエバーノートやグーグルドライブなどのクラウド上で基本的に保管しない。

無料の公衆無線LANでメタマスクを使わない。

●メタマスクを使い終わったらその都度切断する。

●可能ならハードウェアウォレットに接続して使用

フィッシングメールなどで秘密鍵を入力させられることがあるので注意(秘密鍵を入力させられることは通常無い)

怪しいサイトにメタマスクを接続しない

メタマスクについて

メタマスクはウェブの拡張機能を使った仮想通貨ウォレットになります。

特徴としては

・イーサリアムやERC20に準拠してトークンの保管が可能

・グーグルクローム、ブレイブ、FireFoxのブラウザからアクセス可能

・DEXなどでウォレットを使った直接な取引を行うため、その点についてはセキュリティが高い

メタマスクは秘密鍵が盗まれると一気に資金を送金される可能性があり、その点では非常にリスクが高いといえますが、逆に秘密鍵さえ厳重に保管しておけば、取引所に資金をおいていく必要がなく、ウォレットから直接取引ができるためセキュリティが高いと言えるのです。

ヨリコ
ヨリコ
要するにウォレットを生成する「秘密鍵」さえ厳重に保管、そして怪しいサイトに接続しない!ということが重要よ

最近は仮想通貨取引所のセキュリティーが上がったことと、個人のウォレットつかった取引のDEXなどの分散取引所が普及したため、個人のウォレットを狙うハッカーが急増している

 

個人投資家を狙ったメタマスクへのハッキング被害

Ledger(レジャー)は2020年7月29日の発表で、同社のウェブサイトが2020年6月下旬に不正アクセスの被害を受け、約100万件の顧客情報が流出したことを明らかにしました。

このデータ侵害によって「顧客の氏名・住所・メールアドレス・電話番号などの連絡先」と「注文の詳細」などの情報が流出した –bittimes

このように仮想通貨に投資をしている人の情報が流出し、その人に対しての個人攻撃が増えてきている状況です。

この状況から

●メールにて秘密鍵を入力させるフィッシングメールを送付。

●取引所やグーグルアカウント(秘密鍵やメール認証を突破するため)などに対象メールアドレスでログイン試みる

など個人に対してのハッキングを仕掛けている状況です。

もちろんレジャーだけでなく、これまで、仮想通貨取引所でも個人情報が漏れたりと仮想通貨を保有している可能性のある人の情報がネットの裏に出回っていると推測されます。

ヨリコ
ヨリコ
従来は多くの顧客の資産を抱えている取引所を狙っていて、個人は効率が悪いからあんまりといって風潮があったけど、取引所のセキュリティも向上し、今は特に個人を攻撃していく傾向になるのではないかしら
Ledger(レジャーウォレット)を装った脅迫メールやSNSに注意!〜無視をする
Ledger(レジャーウォレット)を装った脅迫メールやSNSに注意!〜無視をする暗号資産(仮想通貨)のハードウェアウォレットであるLedgerNano(レジャーナノ)を購入したことがある方に、詐欺や脅迫のメールが送ら...

メタマスクを狙ったハッキング被害

メタマスクが狙われやすいという特徴については

●秘密鍵がわかるとウォレットを複製され、一気に送金させられる。

●送金時の2段階認証がなく、ウォレット保有者は送金させられたことにすぐに気づかない。

●無線LANから侵入され、直接ウォレットを起動させられる

とこれらのことは金額関係なく、一瞬のうちに資金を失うことになります。

無線LANからハッキングされ、資金を送金

共有の無線LANを使った場合、そこからパソコンに侵入されメタマスクにアクセスされる可能性があります。

通常メタマスクには起動時にパスワード(秘密鍵ではない)を入力することになっており、そのパスワードを破らないとメタマスクは起動できません。

しかしながら、それをハッキングされたということは、メタマスクを自動接続させたままでパソコンを起動していた。

という可能性が考えれます。

ヨリコ
ヨリコ
通常ブラウザ全体を閉じたり、アクセスしているサイトからその都度切断すればブラウザとの切断は切れるわ。

無料の無線LANでのメタマスク接続は危険。またやもえず無線LAN使う場合はメタマスクのブラウザとの接続を切っておく。

 

グーグルドライブなどのクラウドストレージサービスを狙って秘密鍵を盗もうとする

エバーノートやグーグルドライブなど大手のクラウドストレージサービスではクラウド上でデータを保管することができます。

しかしながら、最近はクラウドストレージサービスのログインに仮想通貨の情報流出者のメールアドレスからハッキングを試みそこから秘密鍵を盗み取ろうとする動きが出ています。

私もPCが急に壊れたときのことを考えてクラウドストレージサービスはよく利用していますが、ハッキングを受ける場合を想定して

クラウドストレージサービス上では秘密鍵を置かない。

・取引所のパスワードや2段階認証のバックアップなどをオンライン上に置く場合には必ずパスワードをつけたファイルで保管する

などの対策が必要となります。

メタマスクから8億円が盗まれる事件が〜無関係の署名からハッキング

昨年12月に保険DeFiプロトコルであるNexus Mutual創業者が保有するメタマスクがハッキングされ8億円ほど盗まれる事件が発生しました。

ハッキングを受けた要因は、メタマスクをDeFiなどに接続する場合予め接続する作業を行い、その際に署名をしますが、その際にハッカーが無関係(フィッシングのポップアップを表示せる)の署名をさせ、そこから保有者のPCに潜入し、仮想通貨を送金して盗み取ったということです。

このことから、よくわからないサイトや偽サイトなどからメタマスクを接続するのは非常に注意が必要と言えます。

参考サイト(英語)

ヨリコ
ヨリコ
例えばユニスワップなどのサイトに接続する場合、ウェブの検索ではなく、ツイッターの公式アカウントのURLから入ったり、またコインゲッコーやコインマーケットキャップなどのサイトからユニスワップのサイトに接続し、ブックマークをした上で次からブックマークを利用して接続するなどの利用が適切ね

給付金狙いでたくさんのDeFiに接続する場合には注意が必要

Defiを使っている人は、聞いたことがあるかもしれませんが、初めて触るクリプトの時、「承認(approve)」という行為をされていると思いますが、それを逆手に取って、ウォレットからトークンを引きだされてしまうトラブルが発生しました。  ーたつぞうさんブログ

2020年からDEXから給付金が増えてきており、給付金目当てでたくさんのDeFIプロジェクトにアクセスする人が増えてきています。

その際にプロトコルのバグや怪しいサイトであった場合に、リスクの高い署名となる場合があるため注意が必要です。

たつぞうさんブログでそのへんの対策を紹介されています。

オオヒラ
オオヒラ
過去の署名を削除したり修正してたりできるみたいです。

メタマスクはハードウェアウォレットとの接続がセキュリティを高める

信玄さんもこのように発言していますが、メタマスク単体で接続する場合については、ハードウェアウォレットに比べてハッキングのリスクが高まることになります。

メタマスクとハードウェアウォレットを接続する場合、送金の承認などは最終的にハードウェアウォレットで行う必要があるのです。

ですので、メタマスクにアクセスされ送金させられる場合、ハードウェアウォレットがあると送金にセキュリティを高める事が可能です。

とにかく秘密鍵はオフラインで保管

以前から言われていることがですが、メタマスクなどの仮想通貨ウォレットでは「秘密鍵」をオンライン上に置かない

ということが非常に重要になっています。

また紙で秘密鍵を保管している場合、例えば資産が数千万円など大きな額になっている人もいると思いますが、あわせて紙の保管状況、家が火災になったときの紙での複数のバックアップを考えるなどの対策が必要になって来ます。

ヨリコ
ヨリコ
現在秘密鍵を鉄製のもので保管するクリプトスティールというものがあるの。それだと火災のときには秘密鍵を守ることができるわ。

資産を億を超えている人などはその辺徹底している印象ね。 そうじゃなくても本当に重要だわ

もしメタマスクがハッキングを受けた場合は

メタマスクの場合、実際に通貨を送金させれらた場合、取引所に預けているようにメールなど通知が来るわけではありません。

そのためハッキングにあったときに気づくのが遅くなる可能性が高いです

仮にメタマスクの秘密鍵がグーグルドライブなどのオンラインストレージに保管してあって、グーグルのアカウントから入られた場合(グーグルに限らず)については、その場合の通知がメールでくるため、不正ログインを想定し、いち早くハッキングを受ける対象のウォレットや取引所を把握します。

そして一番資産を置いているウォレットを優先して他のウォレットに送金させる必要があります。

●メタマスク→送金時特に通知などなし。ハッキングされた場合保有者が気づかないことが多い

●取引所→ログイン時にメールにて通知がある。送金時に2段階認証とメールでの通知が来る

またウォレットの優先とすれば、この記事でご紹介しているメタマスクなどは送信先のアドレスを入力しただけですぐに送金ができてしまうので、秘密鍵が見られた場合は、取引所がログインをされた場合に比べて早く資産を送金させられる可能性があるからです。

大手仮想通貨情報サイトのコインゲッコーさんの「仮想通貨のセキュリティを高める最高の方法」についてはこちらを参考にしてください。

仮想通貨を守る最高のセキュリティとは?〜コインゲッコーより
仮想通貨を守る最高のセキュリティとは?〜コインゲッコーより暗号資産(仮想通貨)を守る最高のセキュリティ設定方法について、今回仮想通貨の価格チャート情報サイトである、コインゲッコー(Coingecko)のCOOのBobby Ongさんの発言からこの記事でご紹介していきます。 2020年から仮想通貨市場ではDeFi(ディファイ)、分散型取引所(DEX)が普及し、メタマスクなどの個人用ウォレットを使う機会が増えています。 それと比例するようにハッキングされ仮想通貨が流出する機会も増えてきており...

この記事が気に入ったら
いいね ! しよう

シェアする
ツイートする
Twitter で
メタマスク
注目の暗号資産(仮想通貨)情報★

国内・海外仮想通貨取引所ランキング

仮想通貨取引所の徹底比較ランキング〜登録したい取引所一覧

国内と海外の仮想通貨取引所ランキングを下記のボタンで公開中。ユーザーが多く実績のある取引所、そして手数料が安い取引所、豊富な銘柄が取引できる取引所をメインにランキング形式でまとめています!

詳細ページ

 

【2016年から配信】プレミアム級の仮想通貨投資情報

2016年から配信している、より具体的な仮想通貨投資情報を配信した内容

これまでより多くの方から支持を受けており、2016年からの購読者も多数います。

詳細ページ

 

★大好評★仮想通貨無料メルマガ!

初心者からの仮想通貨が学習できる「無料メルマガ講座」と最新の仮想通貨情報をお届けする読者数3000人のメルマガ。

メルマガの詳細はこちら

 

 

合わせて読みたい