ADAを守る「スマホ」セキュリティ3つのチェックポイント

-と言うことで、Sirin Labs Japanの代表取締役 社長の三浦さんからお話を伺ってきましたので、それ参考にして、ADAユーザー向けの情報として私側で伺った話を読み替えて、シェアさせていただきます!(つまり伺った話そのまま書いているわけではありませんので、あしからず!)

Sirin Labs Japanの販売する「FINNEY」は、暗号通貨を安全に保管・取引することに優れたスマホであることを売りにしています…と言うことは、逆に言うと、「スマホ上で保管する暗号通貨のセキュリティ」に関してはおそらく三浦さん以上に詳しい人は日本にそうそういないのでは…とも思われます…

CardanoADAファンとして、”スマホ、暗号通貨、保管”、で連想するのは、大人気であるYoroi mobileウォレットでしょう!

私も僅かながらiPhoneのYoroiでADAを管理しており、三浦さんもADAの大ファンですので「FINNEY」のYoroiでADAを管理しています。

そこで、Yoroiを使う際の「スマホ」側での注意点は一体何なのか?を伺ってきました!まずは、FINNEYがどうのこうのではなく、(素敵なプロダクトですので最後には触れようと思いますが)、あなたがお使いのスマホでまず気をつけることは何か?をしっかり明確にしたいと思います。

まずここは本当に明確にしなければなりませんが、Yoroiそのものは、あなたのスマホ上の秘密鍵及び送金パスワードが取られない限り、安全です。

Yoroiの使用時に必要な秘密鍵は、送金パスワードで暗号化されて、あなたのスマホにのみ保管されます。つまり、Emurgoのサーバーには断じて保管されません。あなたのスマホとYoroiがハッキングされても、送金パスワードがないと盗めません。

あなたが私に10ADAをスマホのYoroiを使って送るとします…この時、何をやるのかというと、「あなたが私に10ADAを送りますよ」という情報をあなたのスマホ上で秘密鍵を使ってOKします。その後に、署名された「あなたが私に10ADAを送りますよ」という情報をEmurgoの管理する情報管理サーバーに送りますが、ここでEmurgoや他の誰かがどうその「Emurgoの管理する情報管理サーバー」にハッキングしてその取引をいじくり回そうとしても、あなたのスマホ上の秘密鍵を使わないと何もできません!

さらに、ウォレットを生成する際に、あなたのスマホ上で生成される、同じ復元フレーズを正しい順序で入力すれば、必ず同じ秘密鍵を持つウォレットを作り、そこで新たにパスワードを定めることができます。

が、ここで注意しなければならないのは、

いくらYoroiといえど、あなたのスマホ上の秘密鍵/送金パスワード/リカバリーフレーズがわかってしまったら、リスクが生じる

という点です。Yoroiを安全に使用したいなら、そこは流石に自己管理お願いします!ということです。

この秘密鍵/送金パスワード/リカバリーフレーズをどのように安全においておくか?が極めて重要です。これら各々について、深堀りしていきます。

「秘密鍵」に関するチェックポイント

その1:Yoroi mobileでウォレットを作成する時、必ず「機内モード」等、オフラインにした上で行っていますか?

これは極めて重要です。

あまり聞き慣れない注意事項かもしれませんが、プールオペレータは、プールの秘密鍵を生成する時、オフラインでやりましょう、と言われています。

プールオペレータの秘密鍵生成はオフラインでやる必要があるのに、あなたの極めて重要なウォレット生成時にオンラインでウォレットを作ることは適切でしょうか?

まぁもちろん、おそらく実際はオンラインの状態で作っても何もないかもしれませんが、誰も知らないあなたのローカル上でこの秘密鍵が生成できることが安全性の秘訣の1つですので、間違いなくあなたのローカルでのみ生成される状況下で、秘密鍵を生成したほうが、安全性という観点では間違いなさそうです!

その2:YOROI MOBILEでウォレットの入っているスマートフォンで、無料Wifi等の危険なネットワークに接続されないように、Wifiは基本的に無効、あるいは無害なWifiのみ受け入れるような対策を施していますか?

YOROI MOBILEやスマホがハッキングされないように、必ず良質なネットワークのみに接続されるように気をつける必要があります。

特にスマホの場合、利用可能な無料WIFIに知らず知らず自動的に接続されることもあります。Wifiにそこそこ気をつけていらっしゃる方も、通信自体は暗号化されているはずですので、Wi-Fi自体の接続が即、危険というわけでは無いですが、ただ、特に「スマホ内に送金パスワードやリカバリーフレーズ保管してしまっている/いたことがある場合」はオフが良いでしょう。WiFiのセキュリティについてもちょっとよくわからない人は、理解できるまではオフを検討する方が良い可能性もあります。

低レベルセキュリティのネットに接続されていることがいかに怖いかは、ぜひ、「wifi ハッキング方法」で調べてみてください…(悪用厳禁です😂!)LINEの文書を書き換えて送ったり、通信の様子を読み取ったり、なんのアプリを開いているか、後ろで開いているかを読みとったり、カメラをのっとってひっそり写真をとったり…極めてやりたい放題ができます。

もちろん、仮にハッキングされても暗号化されているため送金パスワードがわからなければ大丈夫、ということにはなっていますが、送金パスワードがバレる可能性も加味して警戒するにこしたことはありません。

その3:スマホを紛失しない対策、した場合の行動想定はできていますか?

あなたのスマホそのものが秘密鍵のようなものになっているため、これらを紛失しないように、例えばあなたの家の鍵に、あなたのスマホから距離が離れるとブザーが鳴る忘れ物防止タグをつける、などの対策がされているか?

仮に紛失した場合に、慌てずリカバリーフレーズで新たにウォレットを復元し、別に新しくウォレットを作り、そこに送金する、という流れはイメージできているか?

これに注意しましょう!

その4:Yoroi mobileの入っているスマホを他人に(写真を撮ってもらうときとか)渡さないようにしていますか?仮に本当に信頼できる友人に一時的に渡す場合でもYoroiのアプリに関するロックをかけていますか?

一時的であっても、赤の他人に、自分の100万円の現金が入った財布を渡すことは普通はしないと思います。それと同じ感覚で、YOROI MOBILEの入っているスマホを他人に渡す、ということは基本的にしないはずです。

仮にそれをする場合、あるいは何かの弾みで他の人の手に渡っても、Yoroiを開こうとするとそれを開くこと自体にパスワードが要求される、といった仕組みを設定しておくことは重要だと思われます。

その5:スマホの画面ロック解除のパスコードは可能であれば16桁以上に設定されていますか?

4桁、6桁のパスコードは1秒以内に総当たり攻撃で解読されますので、16桁以上であることが望ましいと言えるようです。これは、16桁以上というのはあまりにも使いづらいと思いますので、基本的には指紋、顔、声などにより認証する仕組みが良いかなと思われます。

「送金パスワード」に関するチェックポイント

「リカバリーフレーズがすべて」「リカバリーフレーズをなくしたら終了」とよく言われますし私も言っているので、リカバリーフレーズの影に隠れてしまいがちな送金パスワードですが、実際のところ、送金パスワードがバレることは、通帳の暗証パスワードがバレるレベルでまずいことで、あと一歩で資金を全部盗み取ることができる状態です。

かつ、秘密鍵/送金パスワード/リカバリーフレーズの中で唯一、あなたが設定するもので、おそらくハッカーは、この送金パスワードが一番解読がちょろいと思っています。

疎かにすると、せっかくのYoroiの最高レベルのセキュリティを一気に台無しにしかねない部分ですので、慎重に扱っていきましょう!

その1:解読が簡単な繰り返し「123123123」や、自分の誕生日「20200319」や、自分の名前などのパスワード、Happyなどの意味のある単語、にはしていませんか?

これは基本的な問いですが、気をつけましょう!意味の一見ある数字や単語はハッカーの総当たり攻撃(とにかくたくさんパスワードを打って確かめる)の得意分野です!

他にも大文字をいれる、記号を入れるなど、可能な限り、「他の人から見て、そういうパスワードに設定しそうだな」と推測されづらいパスワードにしましょう!

その2:送金パスワードを覚えておくためのヒントはしっかりオフラインで管理していますか?

例えば、スマホのメモ帳に送金パスワードをそのまま書いておくことは非常に危険です。クラウドに同期され、全世界からハッキングを試すことが可能な状態におかれる可能性もあります。

したがって送金パスワードのヒントはオフラインで、つまり、紙の上で管理されるのが良いかと思います。

その3:送金パスワードを入力する際は、必ず信頼できるネットワークと接続していることを確認していますか?

Wifiにそこそこ気をつけていらっしゃる方も、通信自体は暗号化されているはずですので、Wi-Fi自体の接続が即、危険というわけでは無いですが、ただ、特に「スマホ内に送金パスワードを保管してしまっている/いたことがある場合」はオフが良いでしょう。WiFiのセキュリティについてもちょっとよくわからない人は、理解できるまではオフを検討する方が良い可能性もあります。

「リカバリーフレーズ」に関するチェックポイント

その1:リカバリーフレーズを覚えておくためのヒントはしっかりオフラインで管理していますか?

よくあるものが、リカバリーフレーズの表示画面のスクリーンショットを取っているケースです。その場合は、それがなんらかの経路で流出したら一瞬でADAを失うことになってしまっています。

これらのヒントをオフラインで管理していることを再度ご確認ください!

その2:リカバリーフレーズを入力する際は、必ず信頼できるネットワークと接続していることを確認していますか?

Wifiにそこそこ気をつけていらっしゃる方も、通信自体は暗号化されているはずですので、Wi-Fi自体の接続が即、危険というわけでは無いですが、ただ、特に「スマホ内にリカバリーフレーズ等を保管してしまっている/いたことがある場合」はオフが良いでしょう。WiFiのセキュリティについてもちょっとよくわからない人は、理解できるまではオフを検討する方が良い可能性もあります。

以上です!

煩雑だな…と思われたかもしれません…が、とにかく覚えておかなければならないのは、Yoroiをスマホで安全に使用するためには、あなた側でも多くのことを気をつけなければいけないんだ、ということです。

まずはスマホ内のリカバリーフレーズのスクリーンショットを完全に削除したり、Wifiのセキュリティがよくわからない場合はWifiの接続設定をオフにしたり、接続先を少し気にしてみたり、できることから、始めていきましょう!!

「なんか思った以上に大変だな…スマホで暗号通貨はちょっと無理かもしれない…」

と思われた方もいらっしゃるかもしれません…ここで、おそらく、「FINNEY」でYoroiを使用する、というのが解決の鍵になる可能性があります。(ここからは私も「FINNEY」は確かに素敵だなと思ったので少し宣伝です😄)

参考HP:https://sirinlabs.jp/

社長の三浦さん自身は「FINNEY」の中にYoroiを入れ、そこにご自身のADAを管理されているとのことですが、これは上のポイントのいくつかを、簡単にある程度クリアすることが可能だからです。

・1つは低レベルセキュリティのネットワークの問題について、FINNEYではそのスマホの中にすでに内蔵されるSIRIN OS、行動分析型侵入防止システムにより通常のセキュリティソフト以上のレベルで保護されてるそうです。

軍事、政府等の情報漏洩が決して許されない分野で実際に使用されている、実際にハッキングに常時トライし、脆弱性を常に検証している、など言われていますが、

簡単に言えば、世界で唯一、スマホのデバイスレベルでのセキュリティに徹底的に特化したOSが導入されているから安全、という理解かなと思っています!

(似たスマホや仕組みはあるけど、それは普通のスマホのアンドロイド OS上にセキュリティソフトが入っているだけで、 OSレベルで安全性に特化されているわけではない、という感じ)

・また、PINコードは4〜16桁で設定が可能ですが、顔、指紋、声での認証がすべて可能になっているため、仮に16桁に設定したとしても日常生活不便が生じづらくなっています。(今日はマスクとサングラスしていて顔認証が…とかいう時は指紋で、指も濡れていて指紋認証が…という時は声で認証できるため、結局、16桁を入力しければならないということが生じづらいということです!)

よくあるスマホ端末では顔、指紋、声のどれかが使えるだけで、マスクをつけているなどの理由でどうしても顔認証が使えない時はパスコードを打ったりしていると思いますが、FINNEYでは顔、指紋、声のすべてが使えることによって基本的にパスコードを打たなくてもよくしているとのこと(16桁をいちいち打つのは大変です!)

・また、Yoroiアプリにパスワードロックをかける、というような細かなセキュリティ設定も簡単にできます。

その他にも色々とありますが、FINNEYは確かに、特にYoroimobileにたくさんのADAを入れていらっしゃる方にとっては魅力的、というか、あまりセキュリティに自身がないならFINNEYの方が良さそう…という印象があります…

ただし、ADAファンとしてはここで残念な点が1つあります。

現在は、FINNEYの売りの大きな1つである「完全なコールドウォレットとして利用できるハードウォレット機能」に現在はADAが未搭載なこと、したがって、ステーキングも「完全なコールドウォレットとして利用できるハードウォレット機能」を享受しながら行うこともできないことです。

個人的には、これは今後に期待しています!

「完全なコールドウォレットとして利用できるハードウォレット機能」が使えないだけで、三浦社長ご自身がそうされているように、YoroiをFINNEYの中に入れて使うことはもちろん可能です!

ということで、FINNEYに興味が出てきた方に少しご案内しますと、Finnyは実店舗でのフェーズを終え、次のフェーズに移行します。ここまでの支援と日頃の感謝を込めて、ショップ最後の大感謝セールが2/11に開催されるとのこと!

SIRIN LABS STORE 銀座店
〒104-0061 東京都中央区銀座4丁目12−1VORT 銀座イーストII 1F

FINNEYに触れる希少な機会ですので、ぜひ2/11までにいらして、色々遊んでみてください!

また、三浦社長自身もADAの大ファンということもあり、ADAファン向けキャンペーンとして、2/11までに銀座店で「ADAファン向けキャンペーン適用で」とおっしゃっていただいた上で購入いただけると、「ADA」でキャッシュバックがもらえるキャンペーンもいただけるようになりました!😂本当に小さいし一時的ですが、これも1つのADAの導入事例かなと思っていますので、ADAの経済圏がまた少しだけ広がった気がして、とても嬉しいです…

(他に、ADA決済導入されたい、という方がいたらぜひご連絡ください!)

この辺りで質問などある方はTwitterDMでお問い合わせください😄

またぜひ、よろしければステークプールへの委任CardanoADA非公式オープンチャットコミュニティ2/15の新宿でステーキング・2020年のCardanoの展望をテーマとしてのミートアップの3つもぜひ参加ご検討ください!

それではまた!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です