コインチェックの不正出金事件でも衝撃的なのに、合わせて自分が使っているマイイーサウォレットからイーサリアムが盗まれてしまうという追い打ちをかけられる残念なことが起こってしまいました。
同じ辛い思いをする人が減って欲しいですので、自衛できる対応策を紹介していきます。
・今後盗まれないようにする対応策
この記事を書いてから、同様にマイイーサウォレットから仮想通貨を盗まれてしまった方がいらっしゃるようで
コメントを少しずついただくようになりました。
”誰でも”仮想通貨を盗まれてしまうことはありえますので、しっかりと対策を心がけてください。
そんなこと自分に起こるわけないでしょ?と思われてしまいそうですが、
実際盗まれると精神的にツライくてなかなか立ち直れないですよ。
状況整理
・マイイーサウォレットのアドレス(https://www.myetherwallet.com/)はブックマークから開くようにしていた。
・開くときは秘密鍵を直接入力しあけていた。
・AirDrop用途でツイッターアカウントにウォレットアドレスを乗せたこと。
マイイーサウォレットはAirDrop用途で用意していたのですが完全に油断していました。
マイイーサウォレットのアドレスはフッシング詐欺サイトが多いそうなので
必ずブックマークから開くようにしていました。
0x6BCCf9435730b353B85B31b315c456690784979aのアドレス許せん。
ToのアドレスがEOSCrowdsaleとなっているので使われてしまった模様。
こちらからは何もできないので困ったものです。自己責任ではありますが非常に悔しい。
ツイッターアカウントにウォレットアドレスを乗せたことで秘密鍵の辞書攻撃されてハッキングされたのかもしれません。
開くときは秘密鍵を直接入力し開けていたのもブラウザに履歴が残るわけで危険でした。
今後の対策
・開く時はKeystoreを使う。
・念のためブラウザ、Java,Flashのアップデートを行い常に最新版にする。
・より安全にするためハードウェアウォレット(Ledger Nano S)を導入する。
マイイーサウォレットはローカルに落として使う。
マイイーサウォレットはオンライン上のウォレットですが、ソースコードがGithubに上げられているので自分のパソコンへウォレットをダウンロードしてローカル環境で使用ができます。
これを怠ったのが致命的だったみたいです。
ローカル環境は自分のパソコンの中で動作させてインターネットへつなげない環境のこと。
マイイーサウォレットのプログラムのソースコードはGithubというソースコードが見られるサイトに置かれていますので
マイイーサウォレットのプログラムをダウンロードして使います。
MyEtherWallet.comページ下にGithub: Current Site & CXのリンクがあるので、これを押します。
Clone or downloadのボタンを押すとダウンロードボタンが表示されます。
「Download ZIP」を押します。
ZIPを開いたら、dist/index.htmlを推奨ブラウザであるGoogleChromeで開きます。
URLがfile://〜〜からはじまっていればオフライン状態です。
この状態でウォレットを作成しKeyStoreをローカル上に保存します。
オフライン上のマイイーサウォレットのデメリット
オフライン上のマイイーサウォレットのデメリットとしては,オフラインですので送金ができない・アップデートを自分でしないといけない点です。
アップデートと言ってもバージョンアップされるたびにGithubからソースコードを落としてくるだけなのでそんなに手間はかからない思います。
Githubでのバージョン情報はこちらで見ます。「Release: v~~~」と書かれているのがバージョン番号です。
マイイーサウォレットのバージョン情報はこちら。
ともにページ内に記載されています。
マイイーサウォレットの フィッシングサイトは多数あるようですので、正式のマイイーサウォレットのアドレスをブラウザで開いたら「ブラウザのブックマークを登録」して、マイイーサウォレットを開くときは「ブックマーク」から開きます。
URLがfile://〜〜からはじまっていればオフライン状態もブックマークから開けば楽ですし。
フィッシングサイトは見た目のデザインを全く同じにつくるので、URLで判別するしかないです。
しっかりと自分の資産の自己責任で守ろう!
開く時はKeystoreを使う
Keystoreは秘密鍵を保持しているファイルです。
秘密鍵から開いていると、もしもフィッシングサイトで秘密鍵のフォーム入力してしまったときに入力した内容を盗まれてブラウザフィッシングにあってしまう可能性があります。
ウィルスなどでKeystore自体が漏れてしまうと意味ないのですが、ブラウザフィッシングはKeyStoreの使用で防げます。
マイイーサウォレット作成時にKeystoreファイルのダウンロードを忘れてしまった場合には、
マイイーサウォレットにログインしたあとで 「Keystore ファイル (UTC / JSON · 推奨 · 暗号化)」の項目からダウンロードができます。
MetaMaskの導入も検討
マイイーサウォレットはMetaMaskと連携が可能で、
MetaMaskをつかうとマイイーサウォレットのサイトへアクセスしないでお財布の情報を見ることができます。
より安全にするためハードウェアウォレット(Ledger Nano S)を導入する。一番安心なのはハードウェアウォレットへの導入
一番安全度が高いのは『ハードウェアウォレットをマイイーサウォレットと連携させる事』
ハードウェアウォレットの導入を検討し、予約注文後無事に購入ができたので長期間保存するトークンに関しては
ハードウェアウォレットを使って保管することにしました。
ハードウェアウォレットは1万円以上からとそれなりのお値段がするものですが、
パスコードが掛けられて、常時オンラインにつなげることがないのでハッキングにあう危険性を極端に減らせます。
仮想通貨のハッキングに対する安心が手に入ります。
ハードウェアウォレットはTREZOR,Ledgerとメーカーがありますが、
お手軽な「LedgerNano S」を購入しました。
LedgerNano Sはビットコインやイーサリアム、ビットコインキャッシュ、ライトコイン、ステラ、リップルなど主要な仮想通貨の保管の他にも「ERC20に準拠したトークンを保管」ができます。
LedgerNano Sは暗号通貨関連商品の中でも特に人気商品で、以前は人気がありすぎて予約販売でしたが現在は在庫があるようです。
ちなみに注文から到着まで僕の場合には20日かかりました。
アマゾンやネットオークションなどでハードウェアウォレットの中古品が購入できますが、中古品はパスコードが見られてしまっている可能性もありえますので必ず「正規代理店」から新品を用意しましょう。
「LedgerNano S」はパソコンへ接続するたびにピンコードを入力でき、使用する時以外はオフラインになるので堅牢なセキュリティを実現できます。
ハードウェアウォレットを使う理由は『リスクを減らすこと」
以前コインチェックの不正出金事件の時に、コインチェックに仮想通貨を置きっぱなしにしておいて、取り出せなくなったときに絶望しましたね。
僕は。
あんな体験は二度としたくないです。
仮想通貨には「盗まれるリスク」以外にも「取引所から取り出せなくなるリスク」があり、この2つのリスクをハードウェアウォレットで防ぐことができます。
1ヶ月以上仮想通貨を保持し続けるなら、1つ持っておいて「LedgerNano S」にいれておくと安心です。
自分のウォレットには大金を入れていたわけではありませんが、自分の落ち度を痛感してがっかりしています。
「いままではたまたま自分が被害者じゃなかった」だけであって、仮想通貨に関わる以上こうした不正出金は十分あり得ることであると強く認識したほうが良いですね。
コメント
コメント一覧 (9件)
私も昨日マイイーサウォレットからイーサコイン盗難ました。
心折れかけています。
心中お察しします。どこにもぶつけられない怒りが辛いですよね。
はじめまして。私のMEWも盗難にあいました…同じ用に秘密鍵のみでログインしていたのですが、この場合パソコン自体がハッキングされていると言うことは無いと考えて良いのでしょうか?(ウイルス、マルウェア等は検知されなかったのですが他のパスワード等漏れていないか不安になってきました…)本当に目に見えないから怖いですね…犯人許せん。
はじめまして。盗まれたのがわかったときはホントつらいですよね。やり場のない怒りがずっとたまり続けて数日抜けきれませんでしたよ。ウィルス・マルウェアチェックして検知できなかったのであれば平気だとは思いますが、念のためにパスワード変更はした方が良いかもしれませんね。手間はかかりますが、ずっと不安になり続けるよりは良いと思います。
はじめまして。ZIPダウンロードしインデックスひらきましたが、通常のMEW画面ではありません。
何が原因でしょうか?教えていただけますでしょうか。
はじめまして。
通常のMEW画面じゃないというのがどんな画面かわかりませんが、考えられるのは次の2つです。
・開いているindex.htmlが違うの可能性
・ZIPのダウンロードが完全に終わる前に解凍してしまって、解凍失敗している。
indexを開いた時のURLは file://******/etherwallet-mercury/dist/index.htmlになっていますか?
もう一度ダウンロードして最初から試してみて下さい。
こんにちは。
私はバイナンスからの送金がマイイーサに反映されない事で、1週間バイナンスとやりあいました。
その後、新規のトークンを登録しようとするとエラーするので、もしやと思い、ブックマークではなく、新規に登録したら反映して万歳三唱したところフィッシングサイトでした。
URLのMyEtherWalletの最後がtじゃなくてlでした。
夜中に作業しててボケてました。
いつもはスペル確認してるのに。。。
ちなみに今はURLの下にマイイーサからの警告が出ます。
怖いもの見たさの方は、『マイイーサウォレット 公式』で検索すると一番上に出てる広告付きと表示しているサイトです。確か普通秘密鍵が一番下ですが、下から二番目だった様な気がします。
『やはり変更だったのか』と単純に考えた故の失敗です。
はじめまして。夜中に「l」になっているとわからないですね…狡猾で嫌になりますね。
自分も6月4日からハッキングに遭っています。エアドロップのみに使っていたので0ETHしか入れていなかったのですがわざわざETHを入れてまでエアドロップで貰ったコインを立て続けに取られています。
それに気づいたのにも昨日だったので新しくエアドロップ用のマイイーサウォレットを作成しそちらにETHを全て移動しました。まだまだ登録していたエアドロップが盗まれたアカウントには届くとは思うので腹立ちますが前回のアカウントは捨てようと思います。また原因はおそらくハッキングされた日に秘密鍵でログインしていたのでそれでバレてしまったのかと考えられますが、4月24日25日からMetamaskで今回ハッキングされたアカウントも管理しているのですが、昨日新しく作成したアカウントもMetamaskで管理しています。
昨日新しく作ったアカウントはMetamask経由で今回ハッキングにあったアカウントの用にハッキングされるのでしょうか?