【BTC】ウォレットよりシードフレーズ保存方法の方が重要って話(その2)

前回の続き物。ウォレットどうすんのってことをつらつら考えるだけの記事。

 

前回はシードフレーズ(※パスフレーズニーモニックフレーズ)の管理方法がとにかく一番大事って話をしました。

 

okometsubulog.hatenablog.com

じゃあその次に重要なのは、どのウォレットを使って仮想通貨を管理すればいいのかってのを考える。

 

 

 

種類としては大体以下の3つぐらいに分類されている認識。

 

ウォレットの種類

  • ハードウェアウォレット
  • デスクトップウォレット
  • モバイルウォレット

 

単純な比較として、

 

ハードウェアウォレット>デスクトップウォレット>モバイルウォレット

 

の順番でセキュリティ面で優秀ということ。一番セキュリティが強固なのはハードウェアウォレットである。

 

とりあえずこの3種類ってなんなのってなるけど、この辺はググると大量に出てくるので割愛。

 

ざっくりいうと、

 

  • ハードウェアウォレットはUSB型のオフラインで秘密鍵やシードフレーズを生成できるため非常にセキュリティ面で強い。1個1~2万円程度。
  • デスクトップウォレットはパソコンに入れるウォレットで気軽に作成できる。ソフトウェアは基本無料。
  • モバイルウォレットはスマホのデスクトップウォレット版で、さらに気軽に使える。街中のショッピングとかで仮想通貨払いが対応していたらQRコードを表示して売買することも気軽にできる。ソフトウェアは基本無料。

 

という感じ。ハードウェアウォレットだけ別途購入する必要があるがオフラインで秘密鍵およびシードフレーズを作成できるのは強い。

 

ここからは各ウォレットについての個人的な意見を述べていく。が、モバイルウォレットは割愛。デスクトップウォレットとほぼ変わらないスマホ版と思えばいい。そのうえスマホは基本無線で常に通信してるので非常に脆弱である点は明らかだ。もちろん、普段使いで普通に使えば特に問題にはならないけども、1億2億もスマホに保存するのかって話。

 

 

ハードウェアウォレットの良さと問題点

良い所は何度も書いてるけどオフラインで管理できるからハッキングに強い。これに尽きる。

 

問題点はハードウェアウォレットのPINコードの管理とシードフレーズの管理が結局残るという点。

 

後はハードウェアウォレットを過信し過ぎて購入場所を間違えたりしてオフラインでも導入時点でハッキングされているというケースか。

 

じゃあまずはいい点から。

 

オフラインで仮想通貨のアドレスや秘密鍵、シードフレーズを管理できるのは強い。また、以前までは仮想通貨を移動させたりする場合はパソコンにつないでオンライン接続しなくてはならず、そのタイミングがセキュリティポイントとして挙げられていたが、近年オフラインのまま承認できるような動きを見せている。

 

以下Yahooニュースより引用。

 

メタマスク、KeyStoneのハードウェアウォレットとQRコード接続に対応(あたらしい経済) - Yahoo!ニュース

https://news.yahoo.co.jp/articles/6a0e862f214321cc10884e58b1fac47c27bf8818

一般的にハードウェアウォレットに保管する暗号資産を動かすには、PCなどのオンラインに接続したデバイスにハードウェアウォレットを繋げる必要があるが、キーストーンのハードウェアウォレットでは、オンラインデバイスとの接続をインターネットやBluetoothWiFi、USBなどを利用せずに、QRコードで接続が可能となっている。

 

最近は完全にオフラインで接続できるようになってるんだねぇ。これはすごい。対応はMetamaskらしいけどどんどん増えていくならハードウェアウォレット何個か持ってもいいかなぁって思えてきた。

 

続いて気を付けたい点。

 

ハードウェアウォレットはログインする際にパスワード(PINコード)が必要になる。これの管理をしなくてはいけない。そしてリカバリーするためのシードフレーズの2つの管理は必須級となっている。そしてハードウェアウォレット自身の管理も追加で必要だ。

 

しかし、前回記事にした通り、完全にガチでセキュリティを高めたいならハードウェアウォレット自体は破壊すべきだと思っています。なぜならPINコードの管理+ハードウェアウォレットの2つの管理がついて回るからだ。

 

組み合わせとしては、

 

・PINコード+ハードウェアウォレット

か、

・シードフレーズ

 

のどちらかのパターンを盗まれたら完全アウトな状態となる。

 

そしてシードフレーズは実は規格(※BIP39等)さえ合っていれば、別のハードウェアウォレットやデスクトップウォレット、モバイルウォレットで実は復元が可能なのだ。

 

そういう意味でもシードフレーズはいかに怖い存在かが分かるだろう。

 

とはいえハードウェアウォレットでもシードフレーズのバックアップは必須だ。なぜならハードウェアウォレットが故障したときにリカバリーができなくなるからだ。

 

では逆に考えればシードフレーズさえあればどうでもいい状況であるということなので、最初からPINコードとハードウェアウォレットの管理をしないという選択肢が最もセキュリティや予防の観点、費用対効果としてもベストだと思っています。

 

じゃあどうやって管理すればいいのかってのは前回やったので割愛。

 

これでシードフレーズさえキッチリ保存しておけば個人が長期保有するのに最適な環境が整うというわけだ。もちろん、PIN+ハードウェアウォレットを維持管理しても問題ない。そもそもハードウェアウォレットはオフライン完備なので、例えばPINコードはガチで暗記して覚えてどこにも残さないようにして、最終手段はシードフレーズとして保管するという2段階構えもありかなと。

 

ただ、ハードウェアウォレットだから絶対安全かというとそうでもなくて、例えば購入場所。メルカリとか誰かの中古を買うのは絶対にNG。

 

なぜなら出品者がシードフレーズや秘密鍵を控えておいて売りつけた相手のアドレスから抜き取るという可能性や、ハードウェアウォレット自体に仕掛けを入れて、一時的にオンラインに接続したタイミングですべての情報を抜き取るような仕組みを入れられている可能性がある。実際そういう手口があったというのも耳にする。

 

じゃあ中古を買わなければ大丈夫かというとそれも気を付けなくてはならず、代理店のしっかりした所以外で買うのも怖いという話。

 

つまり、購入するショップをどこまで信じるのかという点と、さらに言えば販売元も大丈夫か?というのを気を付けなくてはいけない。

 

全然話は変わりいますが、ディスク消去サービス+廃棄を行っていた会社の中の人が消去せずかつ廃棄せずに中古ショップで売りさばいていたというのが日本であったことを覚えていますでしょうか。一時期ニュースで話題になっていました。

 

つまり、「中の人」の誰かが一つだけウォレットに仕組みを入れて出荷したとか可能性はゼロではありません。もちろん、その会社の社会的信用に繋がるので徹底的に管理されていると思いますがゼロではない。

 

そう。ビットコイナーになると誰も信じられなくなるのだ。この中で「ハードウェアウォレットで持つのが常識でしょ?」みたいな話をガチコイナーから聞くと「いや、そんな単純な話か?」って毎回思ってしまうのだった。

 

あくまで私個人としてだけど、明らかにハードウェアウォレットは暗号資産を入れてますよ!(バーン!)みたいな商品だから滅茶苦茶狙われる率高いなって思ってて、配送方法とかも信じていいんかなとか、中の人にやられないかな、とか結構怖いです。

 

電機ショップの中の人に仕込まれているとか、その可能性だって考えないといけない。それこそ5年後に突然ハッキングされたらもうわからないでしょ。どこで仕込まれてたかなんて。超怖いわ。開封シールがあるので開けたかどうかわかる仕組みになってた気がしたけど素人が買った場合知らない可能性もある。可能性を考えたらきりがない。

 

だったら新品の日本製パソコン(※なんとなく中〇は避けたい)のそこそこなスペックのを買って、完全にオフラインにして、デスクトップウォレットをオフラインでインストールしてシードフレーズとアドレスを控えたらディスク消去を入念にして後はもう二度と取り出さない運用にするのでもそんなに変わらなくね?って思うのでした。

 

とはいえデスクトップウォレットの方がハードウェアウォレットよりも問題点は多いという認識。次に見ていく。

 

 

デスクトップウォレットの良さと問題点

デスクトップウォレットのいいところはソフトウェアは基本的に無料で使えるため気軽に使えることです。

 

BTCを保管したいならBitcoin CoreやElectrumが有名でETHとかだとMetamaskが一般的でしょうか。この辺をパソコンにさくっと入れてウォレットを使えるのは割と新鮮で楽しかったりします。※Bitcoin Coreは気軽じゃないけど

 

そしてパソコン代を除けば無料で使えるのもいい。そして先ほどのディスク消去をすれば普通にパソコンとしてその後使用できたりもする。※安全性は当然落ちる

 

それでも実際はハードウェアウォレットの方が良いと思われる。

 

なぜか。

 

  • デスクトップウォレットの「アプリ」に脆弱性があり、だれでもハッキング可能な状態になっている可能性がある
  • 使用するパソコンがウイルスに浸食されている場合にオンラインに少しでも接続したらシードフレーズがハッキングされる危険性がある

 

前者はデスクトップウォレットそのものがアウトの場合。先ほど書いたアプリなら何年も実績があるので安パイかもしれませんが、意図せず発生した脆弱性を付かれたら終わりです。

 

例えばElectrumはつい最近ハッキングされたというニュースが流れていました。以下coinpostサイトを引用します。

 

仮想通貨ウォレット「エレクトラム」を狙うDDoS攻撃、その巧妙な手口と対策を解説

https://coinpost.jp/?p=83234

攻撃者は、Electrumウォレットの脆弱性を突き、ユーザーに対して以下のような偽のエラーメッセージを見せた。これはある意味ではフィッシング攻撃と言えるが、ユーザーにとっては非常に気づきにくいものだ。「Electrum-wallet」というGithubプロジェクトは偽のものであり、ここからダウンロードをしたユーザーは、悪意ある偽のソフトウェアをインストールすることになってしまう。

 

古いElectrumで脆弱性があり、好きなメッセージを表示できる状態だったとのこと。ここで「最新版はこちら!」みたいなメッセージをユーザに表示させ、そこをクリックすると悪意ある偽のソフトウェアがインストールされて取られてしまう、というケースのようでした。

 

今現在は防がれていますが、古いものの正規のソフトウェアを使っているにもかかわらず偽物をつかまされる可能性があるのはかなり衝撃的です。

 

これは先ほど述べた「ハードウェアウォレットの信用問題」と似た問題で、「デスクトップウォレットの信用問題」に発展する。

 

ハッキングの方法も千差万別なので全く別の手法で盗みに来る可能性も当然ある。

 

じゃあどうすればいいかっていうと、ハードウェアウォレットの時と同じくオフラインでシードフレーズを控えた後はアンインストールしてディスク消去を行う、もしくはパソコンを破壊したり「オフライン専用」にして管理すれば比較的安全度は高まる。

 

ただし、オフラインで使用している場合も問題があって、例えばデスクトップウォレットを最初にダウンロードするクライアント自体がアウトだった場合、そのソフトウェアをオフライン側の端末にインストールしてもすでに「秘密鍵」は抜き取られた状態で導入することになるため数年後にオフラインで管理しているにもかかわらず突然盗まれる、という可能性も否定できない。

 

これは先ほどのハードウェアウォレットでも「中の人」に仕組まれたりするケースを話しましたが、ハードウェアウォレットよりも攻撃者の難度は圧倒的に下がる、つまり危険度はデスクトップウォレットの方が高いかなと個人的に思います。

 

これ、「ペーパーウォレット」でもハッキングされたニュースがあって、攻撃者が用意した秘密鍵をペーパーウォレットに表示するようにしていて後から盗んだというニュースが過去にあった。結局正規の製品であっても最初に仕込まれていたらもうおしまい。ユーザはどうしようもない。このニュース個人的にはかなり衝撃的だった。

 

そういう意味でもやはりハードウェアウォレット購入+破壊が最強かなぁと。まだ信じられる。

 

さらに言えばウォレットは問題が無くてもOS上でウイルスを仕込まれていてもアウトです。キーボードの入力を読み取られたり画面のスナップショットを定期的にとらえてシードフレーズが表示される画面が録画されてしまったり、メモリ上を読まれてコピペしたシードフレーズを読まれたり、等々のリスクが常に伴います。

 

2つの視点で危険度が増すのでやはりハードウェアウォレットがいいかなぁと思う。

 

ただ、デスクトップウォレットコスパはいいし、初期の導入テストとかなれるにはうってつけだと思います。オフラインでシードフレーズとアドレス控えてアンインストールないしディスク消去すれば相当安全度高いと思う。さすがに高いでしょ。さすがに。

 

先ほどからガツガツ書いてますが、そこまでガチガチにやらなくても問題は無いかなと。全世界で使われているし、実際何年も実績があります。それこそ資産を分散する一つの手段として考える程度にはアリだと思う。※個人の感想です。

 

ということで、私の中でもまとまってきたのでまとめにします。

 

まとめ

  • 基本正規代理店経由でハードウェアウォレットを買うのが一番安全度高い
  • ただし最初からオフラインで使うことを前提にするならデスクトップウォレットも十分セキュリティ高い
  • 長期保有目的ならどのような場合においても極力オンライン接続はしないこと
  • ビットコイナーが何も信じられなくなる理由が分かるようになる

 

結局どのウォレットもシードフレーズ控えたら「破壊」する。これに限る。これだけで初期インストールor購入したウォレットが最初から仕込まれていた系の脆弱性からは解放される。後は最後の最後に取り出す時にだけ注意をすればいいのだ。

 

後はどこまで信じるのか。ここまで考えたら取引所に置いておいてもアリなんじゃないかとすら思える。昨今の日本だとちょっと取引所におきっぱなしはしたくなくなってきたけども、自分で管理する大変さはやっぱ異常だと思う。こんなの一般人に広まるわけないよ。頭おかしい。

 

あー管理したくねぇな~。銀行で預かってくんねぇかなぁ~~~。

 

って思ってるうちはビットコイナーじゃないです。ただの金持ちになりたい人です。

 

が、日本の取引所の規制が徐々にやばい方向に向かってるので、取引所すら信用できなくなった今、自分で管理する方がマシと考えるようになってきました。なるほどなぁ。そうやってビットコイナーになってくんだろうなぁ。はー大変だよまったく・・・

 

 

f:id:okometsubu-blog:20211217004506j:plain