コインチェックの不正出金事件でも衝撃的なのに、合わせて自分が使っているマイイーサウォレットからイーサリアムが盗まれてしまうという追い打ちをかけられる残念なことが起こってしまいました。
同じ辛い思いをする人が減って欲しいですので、自衛できる対応策を紹介していきます。
・今後盗まれないようにする対応策
この記事を書いてから、同様にマイイーサウォレットから仮想通貨を盗まれてしまった方がいらっしゃるようで
コメントを少しずついただくようになりました。
”誰でも”仮想通貨を盗まれてしまうことはありえますので、しっかりと対策を心がけてください。
そんなこと自分に起こるわけないでしょ?と思われてしまいそうですが、
実際盗まれると精神的にツライくてなかなか立ち直れないですよ。
状況整理
・マイイーサウォレットのアドレス(https://www.myetherwallet.com/)はブックマークから開くようにしていた。
・開くときは秘密鍵を直接入力しあけていた。
・AirDrop用途でツイッターアカウントにウォレットアドレスを乗せたこと。
マイイーサウォレットはAirDrop用途で用意していたのですが完全に油断していました。
マイイーサウォレットのアドレスはフッシング詐欺サイトが多いそうなので
必ずブックマークから開くようにしていました。
0x6BCCf9435730b353B85B31b315c456690784979aのアドレス許せん。
ToのアドレスがEOSCrowdsaleとなっているので使われてしまった模様。
こちらからは何もできないので困ったものです。自己責任ではありますが非常に悔しい。
ツイッターアカウントにウォレットアドレスを乗せたことで秘密鍵の辞書攻撃されてハッキングされたのかもしれません。
開くときは秘密鍵を直接入力し開けていたのもブラウザに履歴が残るわけで危険でした。
今後の対策
・開く時はKeystoreを使う。
・念のためブラウザ、Java,Flashのアップデートを行い常に最新版にする。
・より安全にするためハードウェアウォレット(Ledger Nano S)を導入する。
マイイーサウォレットはローカルに落として使う。
マイイーサウォレットはオンライン上のウォレットですが、ソースコードがGithubに上げられているので自分のパソコンへウォレットをダウンロードしてローカル環境で使用ができます。
これを怠ったのが致命的だったみたいです。
ローカル環境は自分のパソコンの中で動作させてインターネットへつなげない環境のこと。
マイイーサウォレットのプログラムのソースコードはGithubというソースコードが見られるサイトに置かれていますので
マイイーサウォレットのプログラムをダウンロードして使います。
MyEtherWallet.comページ下にGithub: Current Site & CXのリンクがあるので、これを押します。
Clone or downloadのボタンを押すとダウンロードボタンが表示されます。
「Download ZIP」を押します。
ZIPを開いたら、dist/index.htmlを推奨ブラウザであるGoogleChromeで開きます。
URLがfile://〜〜からはじまっていればオフライン状態です。
この状態でウォレットを作成しKeyStoreをローカル上に保存します。
オフライン上のマイイーサウォレットのデメリット
オフライン上のマイイーサウォレットのデメリットとしては,オフラインですので送金ができない・アップデートを自分でしないといけない点です。
アップデートと言ってもバージョンアップされるたびにGithubからソースコードを落としてくるだけなのでそんなに手間はかからない思います。
Githubでのバージョン情報はこちらで見ます。「Release: v~~~」と書かれているのがバージョン番号です。
マイイーサウォレットのバージョン情報はこちら。
ともにページ内に記載されています。
マイイーサウォレットの フィッシングサイトは多数あるようですので、正式のマイイーサウォレットのアドレスをブラウザで開いたら「ブラウザのブックマークを登録」して、マイイーサウォレットを開くときは「ブックマーク」から開きます。
URLがfile://〜〜からはじまっていればオフライン状態もブックマークから開けば楽ですし。
フィッシングサイトは見た目のデザインを全く同じにつくるので、URLで判別するしかないです。
しっかりと自分の資産の自己責任で守ろう!
開く時はKeystoreを使う
Keystoreは秘密鍵を保持しているファイルです。
秘密鍵から開いていると、もしもフィッシングサイトで秘密鍵のフォーム入力してしまったときに入力した内容を盗まれてブラウザフィッシングにあってしまう可能性があります。
ウィルスなどでKeystore自体が漏れてしまうと意味ないのですが、ブラウザフィッシングはKeyStoreの使用で防げます。
マイイーサウォレット作成時にKeystoreファイルのダウンロードを忘れてしまった場合には、
マイイーサウォレットにログインしたあとで 「Keystore ファイル (UTC / JSON · 推奨 · 暗号化)」の項目からダウンロードができます。
MetaMaskの導入も検討
マイイーサウォレットはMetaMaskと連携が可能で、 Metamaskの使い方 この記事では『MetaMaskの使い方について』解説していきます。 MetaMaskはイーサリアム、ERC20,ERC223,ERC721のイーサリアム系トークンを入れておく ...
MetaMaskをつかうとマイイーサウォレットのサイトへアクセスしないでお財布の情報を見ることができます。
ブロックチェーンゲームを始めるなら導入必須なMetaMaskの使い方。導入から送出金まで解説します。
より安全にするためハードウェアウォレット(Ledger Nano S)を導入する。一番安心なのはハードウェアウォレットへの導入
一番安全度が高いのは『ハードウェアウォレットをマイイーサウォレットと連携させる事』
ハードウェアウォレットの導入を検討し、予約注文後無事に購入ができたので長期間保存するトークンに関しては
ハードウェアウォレットを使って保管することにしました。
ハードウェアウォレットは1万円以上からとそれなりのお値段がするものですが、
パスコードが掛けられて、常時オンラインにつなげることがないのでハッキングにあう危険性を極端に減らせます。
仮想通貨のハッキングに対する安心が手に入ります。
ハードウェアウォレットはTREZOR,Ledgerとメーカーがありますが、
お手軽な「LedgerNano S」を購入しました。
LedgerNano Sはビットコインやイーサリアム、ビットコインキャッシュ、ライトコイン、ステラ、リップルなど主要な仮想通貨の保管の他にも「ERC20に準拠したトークンを保管」ができます。
LedgerNano Sは暗号通貨関連商品の中でも特に人気商品で、以前は人気がありすぎて予約販売でしたが現在は在庫があるようです。
ちなみに注文から到着まで僕の場合には20日かかりました。
アマゾンやネットオークションなどでハードウェアウォレットの中古品が購入できますが、中古品はパスコードが見られてしまっている可能性もありえますので必ず「正規代理店」から新品を用意しましょう。
「LedgerNano S」はパソコンへ接続するたびにピンコードを入力でき、使用する時以外はオフラインになるので堅牢なセキュリティを実現できます。
ハードウェアウォレットを使う理由は『リスクを減らすこと」
以前コインチェックの不正出金事件の時に、コインチェックに仮想通貨を置きっぱなしにしておいて、取り出せなくなったときに絶望しましたね。
僕は。
あんな体験は二度としたくないです。
仮想通貨には「盗まれるリスク」以外にも「取引所から取り出せなくなるリスク」があり、この2つのリスクをハードウェアウォレットで防ぐことができます。
1ヶ月以上仮想通貨を保持し続けるなら、1つ持っておいて「LedgerNano S」にいれておくと安心です。
自分のウォレットには大金を入れていたわけではありませんが、自分の落ち度を痛感してがっかりしています。
「いままではたまたま自分が被害者じゃなかった」だけであって、仮想通貨に関わる以上こうした不正出金は十分あり得ることであると強く認識したほうが良いですね。
