皆さんは保有するビットコインをどのように管理していますか?
- 取引所に放置
- スマホやパソコンのウォレットアプリで管理
- ハードウェアウォレットで管理
- 2と3を組み合わせてマルチシグアドレスを構築して管理
ビットコインの知識と保有量が増えるにつれ、1→4へと徐々にアップグレードする方が多いと思います。4は CasaやUnchained Capitalが提供するジョイントカストディサービスを利用するならありですが、まだ自力でやるにはハードルが高いので、現状は3という方が多いのではと推測します。
ハードウェアウォレットは、ニモニックと呼ばれる12または24の英単語を劣化しにくいステンレス板などの媒体に記録、できれば25個目の単語とも呼ばれるパスフレーズも設定し、ウォレット本体、ニモニック、パスフレーズの3つを別々の場所に安全に保管し、何があっても絶対にニモニックをウォレット本体以外の端末には入力しないという鉄則を守れば、現時点では最も安全な管理法だと思います。
本コラムでは、最近発覚した新手のハードウェアウォレット詐欺手口を紹介するとともに、改めてハードウェアウォレット購入時、使用時の注意点をおさらいします。
***************
昨年6月、ハードウェアウォレット製造販売の最大手、フランスLedger社のデータベースがハッキングされ、大量の個人情報が不正流出した事件を覚えてますか?過去にLedger社の公式サイトから商品を購入した顧客100万人のメールアドレス、さらに9,500人にいたっては氏名、住所、電話番号、購入商品、購入個数まで含む情報が盗まれました。
ビットコインを保有していることが知られると誘拐、強盗といった犯罪の標的となりかねない治安の悪い国もあることから、世界中のLedgerユーザーを震撼させました。
しかも、事態はさらに悪化します。昨年12月、とあるインターネットフォーラムに流出リストが投稿され、誰でも閲覧可能な状態になったのです。
私もLedger社の公式サイトから商品を購入したことがあったので、自分の情報が公開されているのではと心配になり、ウィルス感染リスクを覚悟してリストをダウンロードしました。幸い、私の情報は含まれていませんでしたが、住所欄で”Japan”と検索したところ約1,400件が該当しました。2017年バブル時に、使い勝手の良さから爆発的にヒットしたLedger Nano Sを購入した日本人もかなりいたのだと推測します。
***************
情報漏洩の被害者には、その後、断続的にフィッシング詐欺や強盗予告のメールやSMSが届いているようです。
そして、6月中旬、新しい詐欺手口が報告されました。被害者宛にバックドアが設けられたLedger Nano Xが郵送されるというものです。
以下、偽物を分解分析したReddit投稿と、Kraken Security Labsが手口を再現したレポートの概要です。
https://www.bleepingcomputer.com/.../criminals-are.../
https://blog.kraken.com/.../alert-modified-hardware.../
- 梱包は”shrink wrapping”で本物と同じ(文末左の画像)
- 同封のLedger CEOのレターは英語の誤りがあったりと不自然
- レターには、利用中のウォレット端末には安全性の懸念があるため、新しいウォレット端末に資産を移すようにとの指示とともに、新しい端末は資産移管専用のため、新たなウォレットは作成できないと赤字で注意書きも
- ウォレット端末の外見からは偽物との判別不能
- 分解すると本物にはない極小USBスティックが埋め込まれていた(文末右の画像の赤線で囲まれた箇所)
- 同梱マニュアルには、ウォレット端末をPCに接続し、PC画面に表示されたフォルダーのアプリを起動するようにとの指示
- 指示通りにアプリを起動すると、偽のLedger Liveが表示され、旧ウォレットのニモニック入力が促される
ここでニモニックを入力してしまうと、ハッカーに転送され、ウォレット残高を全て盗まれるということでしょう。
