仮想通貨を安全に管理するには取引所側のハッキング対策はもちろん、自分でできる防衛策をきちんとしておく必要があります。
今回はセキュリティレベルを上げるための基本的な注意点や、つい見落としてしまいがちなポイントまで紹介しています。
目次でサッと確認
パスワードを使い回さない
これは仮想通貨取引所だけでなくセキュリティ対策の基本ですよね。
パスワードを複数の取引所やウォレットの管理などで使いまわしていると、1つのハッキングだけでとどまらなくなります。
最悪の場合、複数の取引所に預けている資産全てを失う可能性があるので、必ずパスワードは取引所ごとに別のものを設定しましょう。
こちらの記事でパスワード生成サービスを紹介しています。
推測されやすいパスワードを使用しない
パスワード管理は上記のようなパスワード生成サービスを利用するのがおすすめですが、自分で設定したい、自分が覚えられる物がいいという方もいるかもしれません。
その場合は推測されやすいパスワードは使用しないようにお願いします。
多くの人が「自分は大丈夫だろう」という甘い考えで誕生日や簡単な数字の並びでパスワードを設定してハッキングにあっています。
ハッカーたちはどのようなパスワードがよく使われているのか、というパターンを完全に調べ上げているため、普通の人が安易に考えたパスワードはすぐに見破ることが出来ます。
こちらは海外で発表されたよく使われるパスワードのトップ25です。この中に自分の使っているパスワードはありませんか?
- 123456
- password
- 12345678
- qwerty
- 12345
- 123456789
- letmein
- 1234567
- football
- iloveyou
- admin
- welcome
- monkey
- login
- abc123
- starwars
- 123123
- dragon
- passw0rd
- master
- hello
- freedom
- whatever
- qazwsx
- trustno1
引用:SplashData – 100 Worst Passwords of 2017 & More Password Freebies
日本でも海外でもパスワードは英文字が基本ですので、全世界からハッキングされる可能性があります。
推測されやすい短いパスワードや単語で設定している方はすぐに変更しましょう。
おすすめは20文字以上の大文字+小文字+英数字
強力なパスワードには共通したポイントがあります。
- 長いパスワード
- 大文字と小文字を混ぜる
- 文字と数字を混ぜる
これらを全て組み合わせると「20文字以上の大文字+小文字+英数字」のパスワードがセキュリティ対策の理想的な形です。
例:zY4nf8LgMD9a5Rw63pWs1xなど(これは使わないで下さいね)
記号を混ぜるのも強力にする方法の1つですが、取引所によっては対応していないこともあるため、まずは上の条件を満たしていれば大丈夫でしょう。
その時、似た文字が混ざらないようにすると使いやすさも上がるでしょう。
例:大文字のI(アイ)と小文字のl(エル)、数字の0(ゼロ)と大文字のO(オー)など
可能であればメールアドレスも使い分ける
これは少し手間がかかる部分ですが、セキュリティレベルを更に一段階上げるために有効な手段です。
取引所は基本的にメールアドレス+パスワードでログインすることが出来ます。
そのため、公開しているメールアドレスがあれば、それだけで「私のログイン情報の半分はここにありますよ」と明かしているようなものです。
今ではTwitterやFacebookや過去に登録したサービスなどから簡単に個人情報とメールアドレスを紐付けることが出来ます。
サービス側で勝手にメールアドレスが公開されていたり、メールアドレスさえあれば個人を検索することが可能になっていることもしばしばあります。
実際にメールでやり取りした相手にもメールアドレスは公開されていると考えると安心はできません。
- 取引所専用のメールアドレスを作る
- そのメールアドレスで他人とやり取りをしない
- 取引所以外にそのメールアドレスで登録しない
以上を徹底するだけでもセキュリティが実質2倍の強さになります。
メールアドレスのログイン情報も厳重に
見落としがちですが、取引所側のセキュリティはしっかりしていても、メールアドレス(GmailやYahooメール)のアカウントのセキュリティをおろそかにしている方は多いです。
これをきっかけに、メールアドレスアカウントの設定も見直しましょう。
メールアドレスのパスワードも使い回さない
先述したような簡単なパスワードの使いまわしている場合は要注意です。
メールアドレスも同じように、アドレスがバレていればあとはパスワードをあてるだけで簡単にログイン出来てしまいます。
「仮想通貨の管理と一体どんな関係が?」と思う方もいるかもしれませんが、アカウント登録後のメール認証やパスワードの再発行などでメールアドレスは重要な役割を持っています。
基本的に取引所やネットサービスはメールアドレスは本人しか使っていないという前提で、パスワードの再発行を登録しています。
そのため、メールアカウントにハッカーが侵入してしまった場合、取引所にパスワードの再発行を申請して、勝手に別のパスワードに書き換えることが出来てしまいます。
メールアドレスからハッキングする手順は下記の通りです。
- メールアカウントに侵入する
- 侵入したメールアドレスを控える
- それを使って取引所にパスワード再発行申請を送りまくる
- 侵入したメールアカウントにそのメールが来たらそれを開く
- パスワードが書き換えられてハッカーの物になる
こうなってしまうと出金の申請などが可能になり、第三者に勝手にお金を送られてしまうリスクが生まれます。
「メールボックスを見ることは少ないから」などという理由で、簡単なパスワードを設定している人はメールアドレスごとに違うパスワードを設定しましょう。
メールアカウントに二段階設定する
GmailやYahooメールなど登録に使用しているメールサービス自体の二段階認証もあります。
これを設定しておけば、取引所の不正アクセス防止と同じようにメールアカウントへの侵入を防ぐことが出来ます。
取引所に登録しているメールアドレスには原則この機能をオンにしておくことを強くおすすめします。
設定方法については下記を参考にして下さい。
ログイン時の二段階認証を設定する
二段階認証とはログインの際に動的(ランダム)な認証コードを発行して、それを入力しなければログインできなくなるするセキュリティ対策方法です。
仮想通貨の取引所の場合は「Google Authenticator」というアプリを使用して二段階認証を行うのが基本です。
基本的にほぼすべての取引所がこの二段階認証に対応しており、取引所側もこの設定をしておくことを強く推奨しています。
二段階認証の設定方法についてはこちらの記事で紹介しています。
ハッキング被害にあっている人のほとんどはこの設定をしていない人たちです。
ログインなどに一手間かかってしまうのですが、これを設定するだけでもかなりの確率で被害を防ぐことが出来るので、必ず設定しておきましょう。
セキュリティレベルの高い取引所を選ぶ
取引所はお客様からの仮想通貨も預かっている銀行のような役割を持っています。
そのため、銀行強盗からお金を狙われるのと同じように、常にハッキングのリスクを抱えています。
自身の資産を一時的に預けておく取引所もセキュリティレベルが高いところを厳選しておくことが重要です。
特に以下の機能を持った取引所が絶対条件といえます。
- ログイン時の二段階認証
- マルチシグ
- コールドウォレット
2017年のコインチェックのXEM(ネム)流出事件はコールドウォレットに対応していない事が原因で起きたハッキング被害です。
こちらの記事でセキュリティレベルの高い取引所を紹介しています。マルチシグやコールドウォレットの意味についても解説しています。
APIキーを他人に渡さない
少し専門的な話になりますが、自動売買ソフトなど外部から取引所を操作することの出来る「APIキー」を発行する場合は、他人に譲渡しないようにしてください。
APIキーやシークレットキーが外部に流出してしまうと、不正に送金されたり、勝手な注文を出される恐れがあります。
APIキーはいわばアカウントのカギのようなものです。
ハッキング被害を受けている被害者の中にはAPIキーの危険性を知らずに、他人に渡しているケースもあるので注意しましょう。
(APIキーは自分で作成しなければ特に問題ありません)
取引所は検索せずブックマーク
取引所にアクセスする際にGoogleやYahooでその都度検索してアクセスしている人は要注意です。
GoogleやYahooにはお金を払うことで検索上位にURLを表示することが出来る広告機能があります。
この仕組みを利用して悪質なフィッシングサイト(詐欺サイト)やコピーサイトを作成してユーザーのログイン情報を不正に集める広告が表示されている場合があります。
こちらが実際にHitBTCとバイナンスで作られたコピーサイトです。
HitBTCのフィッシング詐欺URL
2018年2月15日頃に発覚したものです。
海外取引所の「HitBTC」のURLの「b」部分の下に極小の点がついているのが見られます。
点がついている方が偽物で、個人情報を抜くために作られたフィッシング詐欺サイトです。
Binanceのフィッシング詐欺URL
2018年2月19日頃に発覚したものです。
こちらも同じ手口でURLの「n」部分の下に極小の点がついているのが見られます。
現在発覚している取引所は2つのみですが、他にもある可能性は高いです。
このように、広告の仕組みを利用した悪質なサイトが出ていることがあるので「取引所はブックマークしてそこから開く」を心がけましょう
こまめにハードウェアウォレットに移動
ハードウェアウォレットとは、仮想通貨を管理出来るUSBメモリのようなものです。
家電屋やAmazonなどのネット通販でも購入可能で、パソコンに繋いで仮想通貨をその中に移して使用します。
一度仮想通貨を移してしまえばオフラインで管理できるのでハッキングの心配もなく、安全性もかなり高いのが特徴です。
取引所で購入した仮想通貨はこちらに入れて管理しておくクセをつけましょう。
自身の身の安全にも注意する
ここまでオンラインのセキュリティ管理について解説してきましたが、仮想通貨を持ち歩くのは自身を危険に晒す可能性もあります。
近年仮想通貨の資産を多く持つ投資家などが強盗に会う被害が多発しています。
パスワードや指紋認証さえ突破すればスマホから簡単にお金を盗むことが出来るので、オフラインでの安全対策にも注意しておきましょう。
こちらの記事では強盗や拉致などのリスク回避の方法を解説しています。