Web3セキュリティ入門
Web3は、非中央集権に依存しています。今日、それはブロックチェーン、暗号通貨、ウォレットを意味します。そして、特定のセキュリティの考慮事項のセットです。この記事では、Web3の利点とリスクについて説明し、安全を確保する方法について議論します。
この記事を読む →暗号ウォレットには、カストディ型と非カストディ型(別名「セルフカストディ」)の2つのオプションがあります。秘密鍵とは、パスワードのような役割を果たす秘密の番号のことです。秘密鍵を知っている人は誰でも、暗号アドレスの資産を管理(つまり、送信、取引、または使用)することができます。
先に進む前に、暗号のセルフカストディに関連するリスクがあることに注意してください。どのような技術でもそうですが、使用するソフトウェアやハードウェアに信頼を置いていることになります。コインベースのような中央集権的な取引所であれ、MetaMaskのようなセルフカストディウォレットであれ、あなたが選んだプロバイダを信頼しているのです。そのため、信頼できる評判の良いオプションのみを使用することが重要です。
暗号通貨のカストディ、カストディとセルフカストディのオプションについて詳しく知ることができます。
カストディ型ウォレットと非カストディ型ウォレットの違いについて
カストディ型ウォレットと非カストディ型ウォレットの違いは、誰が秘密鍵を管理するかということです。
- 非カストディ型(またはセルフカストディ)ウォレットでは、ユーザーは自分の秘密鍵を管理します。
- カストディ型ウォレットでは、第三者がユーザーに代わって鍵を管理します。
セルフカストディ・ウォレットは秘密鍵を保管し、暗号(実際にはブロックチェーンに保管されている)を管理するためのインターフェースとして機能します。セルフカストディ・ウォレットは暗号を送受信し、分散型アプリ(DApps )に接続することができます。セルフカストディウォレットでは、(信頼できるウォレットプロバイダーの助けを借りて)自分の秘密鍵を管理し、自分の資産を完全にコントロールできることを意味します。
一方、カストディ型ウォレットでは、第三者(集中型取引所、CEXなど)があなたの秘密鍵を管理し、あなたの暗号の保管を行います。
また、どちらの種類のウォレットでも、暗号アドレスの残高や取引履歴を見るなどの基本的な作業を行うことができます。
セルフカスタムウォレットを使うべき理由と、その始め方は?
暗号を自分で保管する主な理由は、秘密鍵を保護するためにカストディ型(CEXなど)を信用しないようにすることです。カストディ型(銀行のようなもの)は、倒産したり、詐欺を働いたり、あるいはあなたの同意なしに資金を悪用する可能性があります。セルフカストディでは、信頼できるウォレットの助けを借りて、自分一人で資産を管理することができます。
セルフカストディウォレットの設定は、以下の手順で行います。
注:ほとんどのセルフカストディ暗号ウォレットは、同様の設定フローを持っています。より具体的な技術的なヘルプについては、お使いのウォレットプロバイダーのドキュメントを参照してください。
ステップ1:セルフカストディウォレットの種類を知る
セルフカストディウォレットを選ぶ前に、その種類を知っておく必要があります。最大の違いは、ソフトウェアウォレットとハードウェアウォレットの違いです。
- |- ソフトウェア(または「ホット」)ウォレット
ソフトウェアウォレットは、パソコン、携帯電話、タブレットのアプリとして、またはWebブラウザ の拡張機能 として提供されています。インターネットに接続されているため、しばしば「ホット」ウォレットと呼ばれます。ホットウォレットは、秘密鍵を常に手元でオンラインに保つことができるため、暗号の管理が簡単で便利になります。しかし、同じ理由で、携帯電話やコンピュータがハッキングされる可能性があるため、ハードウェアと比較すると安全性に欠けます。
注:「なりすまし」ブラウザの拡張機能も懸念されることがあります。詳しくは後述します。
**ハードウェア(または「コールド」)ウォレット
ハードウェアウォレットは、秘密鍵をオフラインで保存する物理的なデバイス(多くの場合、USBドライブに似ています)です。これは、「コールド」ストレージと呼ばれることもあります。
ハードウェアウォレットは、オフラインで秘密鍵に安全に署名し、ハードウェアウォレットを携帯電話やコンピュータに接続すると、署名されたトランザクションをブロードキャストします。オフラインの間、秘密鍵が漏れることはありませんが、このセキュリティの強化の代償として、利便性は低下します。
ステップ2:ウォレットを選ぶ
ソフトウェアウォレットとハードウェアウォレットのどちらを選ぶのが正しいか間違っているかということはありません。多くの人は、ソフトウェアウォレットをポケットの中の現金のように扱い、ハードウェアウォレットをより大きな暗号のための鍵付き金庫のように、両方を使用するでしょう。
どのウォレットを選ぶにせよ、すべてのウォレットが同じように作られているわけではないことを知っておいてください。信頼できるプロバイダが必要です。つまり、あなたの秘密鍵に関して約束したことを実際に実行してくれる、信頼できるプロバイダが必要なのです。ウォレットに関しては、有名どころにこだわるのが得策です。高い評価と多くの評価を得ているウォレットを探しましょう。
人気のソフトウェアウォレットオプション
最も人気のあるソフトウェアウォレットは、MetaMaskとCoinbase Wallet(カストディ型のCoinbase CEXと混同しないように)です。ただし、どちらもブラウザの拡張機能として動作するため、注意が必要です。拡張機能は、ブラウザに対して多くの権限(あらゆるWebページを読み書きできるなど)を付与する必要があり、リスクのベクトルになり得ます。攻撃者がこれらのダウンロードを「偽装」し、不正な拡張機能のバージョンにリダイレクトすることで、人々を搾取することは珍しいことではありません。
偽装に関する詳細は、暗号通貨ウォレットのセキュリティに関する詳細をご覧ください。
- |- 人気のハードウェアウォレットオプション
最も人気のあるハードウェアウォレットは、LedgerとTrezorの2つです。どちらも、購入したデバイスが本物であり、改ざんされていないことを確認する手順があります。また、どちらも有名で評判の良いサプライヤーであり、世界中の何百万人もの暗号保有者に利用されています。
ブラウザネイティブのオプション:Braveウォレット
拡張機能のリスクを回避するため、Braveは[Braveウォレット] (/wallet/)を作成しました。ブラウザに組み込まれたセルフカストディの暗号ウォレットです。拡張機能をダウンロードする必要はありません。Braveウォレットは、デスクトップ、Android、iOSにまたがる、安全な暗号のセルフカストディをもたらします。また、LedgerやTrezorといった人気のハードウェアウォレットとシームレスに統合することも可能です。Braveウォレットを使用すれば、ユーザーはソフトウェアとハードウェアの両方のウォレットを使用し、特定の秘密鍵をオフラインで保存して、多様化することができます。
ステップ3:リカバリーフレーズを生成する(または既存のフレーズをインポートする)
新しいウォレットを作成する場合、まず最初に「リカバリーフレーズ」(または「シードフレーズ」)を作成し、安全に保管します。このフレーズは、特定の順番で並んだ単語(通常12または24)の列から構成されています。
リカバリーフレーズは、あなたのウォレットのマスター秘密鍵を表し、次の2つの重要な役割を担っています。
- ウォレット内に作成する新しい暗号アドレスのための他の秘密鍵を生成することができます。
- デバイスを紛失したり、破損した場合にウォレットを復元するのに役立ちます(リカバリーフレーズを入力すると、どのデバイスでも暗号ウォレットにアクセスできるようになります)。
リカバリーフレーズとは?
リカバリーフレーズとは、マスター秘密鍵を人間が読めるようにしたものです。64文字の16進文字列(afdfd9c3d2095ef696594f6cedecae59e72dcd697e2a7521b1578140422a4f890など)より簡単に記録できますが、同じ機能を果たします。
注:
- セットアップの際、リカバリーフレーズを正しく記録したことを確認するため、通常、再入力するよう求められます。ただし、リカバリーフレーズを聞かれたり、教えたりすることはありません。
- 既存の暗号ウォレットを復元したり、新しいウォレットで既に作成された暗号アドレスを管理するためには、リカバリーフレーズが必要です。
ステップ4:新しい暗号アドレスを作成する(または既存のものをインポートする)
暗号アドレス(およびその秘密鍵)は、暗号ウォレットをセットアップするときに自動的に作成されます。ウォレットを使用して追加の暗号アドレスを生成することはできますが、ウォレットなしで暗号アドレスを生成することはできません。
対話したいブロックチェーンごとに個別の暗号アドレスが必要です。例えば、Braveウォレットは、EthereumとSolana用の暗号アドレスを自動的に作成します。
あなたのウォレットで作成されたすべてのアドレスは、あなたのウォレットのマスター秘密鍵から派生した独自の秘密鍵を持っています。重要なことは、あなたのリカバリーフレーズは、あなたのウォレット内で作成されたすべての秘密鍵へのアクセスを許可しているということです。もしそれが漏洩した場合、すべての秘密鍵が公開されます(インポートアカウントからのものを除く)。
インポートされた暗号アカウントとは?
インポートアカウントとは、あるウォレット(例:MetaMask)で生成され(そのウォレットのマスター秘密鍵を使用)、その後別のウォレット(例:Braveウォレット)に追加される暗号アドレスのことを指します。この例では、BraveウォレットはMetaMaskからインポートされたアドレスに関する情報を表示し、Braveウォレットのインターフェースを通じてそのアドレスを管理することができます。しかし、そのアドレスはあなたのBraveウォレットのリカバリーフレーズとは結びつかないでしょう。
ステップ5:暗号をセルフカストディウォレットに移すか、直接購入する
最後のステップは、CEXから暗号を転送するか、不換紙幣で直接暗号を購入することにより、ウォレットに暗号を追加することです(ウォレットがそれをサポートしている場合)。例えば、Braveウォレットは、いくつかのパートナーを通じて不換紙幣の購入をサポートしています。
他のウォレットや取引所から資産を転送する場合は、手順が若干異なります。既存のウォレットプロバイダーの手順に従って、新しい外部アドレス(つまり、新しいセルフカストディウォレットアドレス)に暗号を送信してください。例えば、Braveウォレットには、独自の送金方法があります。
あるウォレットから別のウォレットに暗号を転送する前に、次のことを確認してください。
- 送信先アドレスの再確認
- 大金を送金する前に、少額のテストトランザクションを送信する
- 正しいネットワークを使用していることを確認する(例:ETHはイーサリアムアドレスにのみ、SOLはソラナアドレスにのみ送信する)
暗号通貨のセルフカストディのヒントとベストプラクティス
セルフカストディウォレットに資金を供給したら、資産を安全に保つのはあなただけの責任です。そのため、いくつかのベストプラクティスに従う必要があります。
アプリの選択と更新
- 定期的な外部セキュリティ監査など、優れたセキュリティ対策を実施している信頼できるウォレットを選ぶこと
- アプリやソフトウェアを最新の状態に保つ
リカバリーフレーズの確保
- 紙に書いて、しっかり保管する(金庫とか、家の外とか)
- 暗号保管用鋼板(またはその他の防水・耐火素材)にフレーズを記録することを検討する
- スクリーンショットを撮ったり、デバイスに残したりしない(ハッカーやマルウェアから保護するため)
- 「サポート担当者」等には絶対に教えない
パスワードと保存オプション
- 強力なパスワードを使用し、サイト、サービス、ウォレット間でパスワードを再利用しない
- パスワードマネージャーを使用して、強力でユニークなパスワードを生成し、それらのパスワードを保存する
- 大量の暗号通貨をオフラインで保存するための「コールド」ストレージの検討
- 目的別にアドレスを使い分けることを検討(例:DAppsへの接続用と暗号ストレージ用)
最後に、安全なブラウザベースのセルフカストディウォレットをお探しの方は、[Braveウォレット] (/wallet/)をチェックして、今日からセルフカストディを始めてみてはいかがでしょうか。
Related articles
クリプトカストディ入門:セルフカストディのメリット
Web3は、ユーザーが自分の資産の真の所有権を得る機会を提供します。しかし、この所有権は、暗号や他のWeb3資産を安全に保管する場所と方法という重要な考慮事項を意味します。セルフカストディはあなたにとって正しいものでしょうか?この記事では、暗号の保管の種類を説明し、自己の保管の利点とリスクについて説明します。
この記事を読む →Brave Blog
Check out the Brave blog: the front page for news on ad blocking, features, performance, privacy, and Basic Attention Token related announcements.
Read more articles →
