暗号資産取引所を利用する上で取るべきセキュリティ対策とは

今週は読者からの質問コーナーです。

こんにちは。暗号通貨を扱う上でのセキュリティに興味があります。例えば常日頃、PCやスマホで取引所を利用する上で取るべきセキュリティ対策ですが、私は専門用語などに疎く、研究所の記事を見ても自分のレベルにあった対策を選ぶのが難しい所があります。一般的にはPCはMACやwindows、ブラウザはgoogleやsafari、家の中ではhome wifi、外出時はデータやフリーwifi（自分は使わないようにしています）といった環境だと思います。この状況下でセキュリティを上げるために変更すべきことを初心者向けに教えて頂けると助かります。２０１９年7/28にネットワークセキュリティのためのTORやVPNのレポートがあったようですが、研究所の検索では出てきませんでした。読みたいです。大分昔の記事ですが、今もセキュリティ力が高い方々はTORやVPNを使用して取引をしたりしてるのでしょうか？よろしくお願いします。

暗号資産を扱う際のセキュリティ対策についての質問をいただきました。

2024年現在、パソコンを利用される方の一般的な状況は次の通りかと思います。

利用端末: パソコン（PCあるいはMac）
ブラウザ: Chrome、Safariなど
ネットワーク: Wifi

ご質問での関心事は暗号資産取引所を利用する場合についてでしたが、今回は少し対象を広げ、取引所サイトや暗号資産ウォレットを利用する際のセキュリティについて考えてみましょう。

基本はPCやスマホ利用における一般的なセキュリティ対策を行うこと

取引所サイトや暗号資産ウォレットの利用において重要なのは、PCやスマホといった利用端末のセキュリティをしっかりと守ることです。これはなにも個人での利用に際しての特別な話なのではなく、企業での利用も同様です。企業の方がプラクティスが体系化しており、準拠すべきやり方が分かりやすいかもしれませんね。

企業におけるセキュリティ対策の文脈では、日常的に使用するPCやスマホなどのデバイスのことをエンドポイントと呼びます。そのため、「エンドポイントセキュリティ」というくくりで対策がとられています。

エンドポイントセキュリティの基本

次のポイントを押さえることが大事です。

OSとアプリを常に最新に保つ

ソフトウェアの更新には、既知の脆弱性を修正する重要なアップデートが含まれることがあります。WindowsやMac、iOS、AndroidといったOSだけでなく、ブラウザやウォレットアプリも定期的に更新しましょう。アンチウイルスソフトによっては、インストールされているアプリのアップデートを通知してくれるものがあります。ですが、ウォレットアプリについてはマイナーなものが多いこともあり、アップデート通知に関しては頼りないです。ビットコイン研究所では、主要なウォレットアプリ、取引所アプリ等のアップデートをウォレットニュースレターという形でnoteにて配信しています。こちらをフォローいただいて、アップデートのキャッチアップに務めることが効果的です。

ウォレットニュースレター: https://note.com/coinkeninfo

アンチウイルスソフトを利用する

アンチウイルスソフトを導入することで、マルウェア感染を防ぐことができます。
最低限何かしら入れておきましょう。家電量販店で売られているくらい知名度のあるものであれば、検出能力の点でいえばどれを入れても問題ないです。

大変重要な点がひとつ。無料をうたう名前を聞いたこともないような製品には手をださないようにしてください。アンチウイルスのふりをしたマルウェアだったりします。私の身近な方でもそうした偽物にひっかかり痛い目を見てしまった悲しい事例があります。お気を付けください。

また、いくら不安だからといっても２つ以上の製品を入れるのはNGです。２つ以上いれても、互いにウイルスと判断してしまうなど誤作動してしまいます。

ところで企業向け製品となると、最近ではEPP、EDR、XDRなどと機能が再分化し、様々なベンダーが参入しており選定が悩ましかったりします。これらは、企業向けに集中管理する機能の話だったり、専門の検証部隊向けの機能の話が主ですので、個人利用については基本気にする必要ないです。

信頼できるアプリのみをインストールする

アプリをダウンロードする際は、公式ストアや開発元から提供されるものに限りましょう。不明な出所のアプリは避けてください。暗号資産の世界では、偽物アプリによる被害報告が圧倒的に多いです。Google検索のトップに来るものは偽物なことがよくあります。公式サイトからリンクをたどるようにしましょう。そして、このことは何もウォレットアプリに限った話ではないです。自分のPCやスマホに入れるアプリ全般に対し、そうした心構えで導入すべきです。アプリに与えられる権限は大変強いものです。ひとたび悪意あるアプリがインストールされてしまうと、好き放題されてしまう可能性があります。

また、ブラウザの拡張アプリについてはより慎重に対応すべきです。ホンネを言えば入れること自体基本的には避けた方がよいです。あなたが入れようとしている拡張アプリ、信用できますか？このことを確認しにくいことが、とてもやっかいです。拡張アプリは個人の開発者や比較的小さな会社が提供していることが多いです。いつのまにか開発元が買収されて悪意ある人の手に渡っていたなんて事案が何度も報告されています。インストール時点では健全なものであったとしても、さりげなくアップデートで悪意あるモノに置き換えられてしまいます。そしてすべてのサイトを覗き見られます。恐ろしいですね。

さて、現実的な対策案ですが、ウォレットや取引所サイトにアクセスするブラウザは普段使いのブラウザと分ける、そのブラウザには拡張アプリは何も入れない、といった運用も有効です。普段使いのブラウザがChromeなのであれば、暗号資産の利用にはFirefoxやBrave Browserを使う、といった話ですね。

フィッシング対策

取引所を利用する際に最も注意すべきはフィッシング詐欺です。以下のポイントを守りましょう。

公式サイトのURLを確認

ブックマークを利用して公式サイトへアクセスする習慣をつけると良いでしょう。検索エンジンの結果やメールリンクからアクセスするのは避けてください。あなたの手元に届いたメール、本物ですか？

二要素認証（2FA）の設定

設定できるのであれば取引所のログインや取引に2FAを有効にしましょう。Google AuthenticatorやAuthyなどの認証アプリを使用します。より確実なのは、物理的な実体のあるセキュリティキーを利用する方法になります。セキュリティキーの利用は、企業でも特にセキュリティに敏感なところが実践するプラクティスです。個人でも、YubikeyやGoogle Titan Security Keyといったものは比較的手に入りやすいので、是非実践してみてください。

怪しいメールやSMSは開かない

個人情報やログイン情報、リカバリーフレーズを要求するメールは詐欺です。疑わしい場合はリンクをクリックしないこと。最近では、ウォレットや取引所の公式をうたう詐欺メールが本当に多いです。

関連する話として、ソーシャルネットワーク上でさりげなく共有されるリンクも基本あやしいと思ってのぞむべきです。特に、暗号資産の世界ではDiscordやTelegramがコミュニティで利用されることが多いです。ここには本当にカジュアルに詐欺師が登場し、フィッシングURLを展開したりダイレクトメッセージで運営のフリをして声をかけてきたりします。すべて疑いましょう。

VPNやTorの利用について

VPNやTorに関する質問もいただきましたが、これらのツールの役割について正しく理解することが大切です。

VPNの現状

VPNは通信を暗号化することで安全性を向上させるツールですが、現在ではほとんどのウェブサイトがHTTPSを採用しているため、通信の暗号化は標準で行われています。そのため、VPNを利用する必要性は以前ほど高くありません。ただし、公共Wi-Fiを利用する際にはVPNを使用することで、追加の安全性を確保できます。

なお、VPNをプライバシー確保のために利用される方もいらっしゃいます。海外のサーバーを経由する形でアクセスすることで、身元を分かりにくくしプライバシーを確保します。注意点としましては、取引所によってはこのプライバシー向上策が怪しい行動だと思われアクセスを遮断される点です。最近は特に敏感になっており、日本の外のサーバー経由の場合、アクセスを止められることが多いようです。

Torの役割

Torはセキュリティというよりも、プライバシー保護のためのツールです。匿名性が重要な場合には有効ですが、取引所の利用に関しては特に必要ではありません。むしろ、Tor経由でのアクセスを制限している取引所もあるため、日常の取引には不向きです。