
偽のウォレットと秘密鍵のリカバリーフレーズ漏洩リスクについての簡単な分析
TechFlow厳選深潮セレクト

偽のウォレットと秘密鍵のリカバリーフレーズ漏洩リスクについての簡単な分析
本ガイドは、すべてのユーザーが自分の資産をより適切に保護し、ブロックチェーンの暗黒の森をより遠くまで歩み進めるようにすることを目的としています。
執筆:SlowMistセキュリティチーム
背景
ウォレットはWeb3の世界において極めて重要な役割を果たしており、デジタル資産の保管手段であるだけでなく、ユーザーが取引を行いDAppにアクセスするための必須ツールでもあります。前回の「Web3セキュリティ入門・リスク回避ガイド」では、主にウォレットの種類とよくあるリスクポイントについて紹介し、読者が基本的なウォレットセキュリティの概念を形成できるようサポートしました。暗号通貨とブロックチェーン技術の普及とともに、悪意ある勢力もWeb3ユーザーの資金を狙うようになっています。SlowMistセキュリティチームが受け取った盗難報告フォームによると、多くのユーザーが偽のウォレットをダウンロードまたは購入したことで資産を失っています。そこで今号では、なぜ偽のウォレットをダウンロード/購入してしまうのか、また秘密鍵やリカバリーフレーズの漏洩リスクについて解説し、一連のセキュリティ対策を提示することで、ユーザーの資産保護を支援します。
偽のウォレットをダウンロードしてしまう原因
多くのスマートフォンではGoogle Play Storeが利用できない、あるいはネットワークの問題により、ユーザーはapkcombo、apkpureなどの第三者サイトからウォレットをダウンロードすることがあります。
サードパーティのダウンロードサイト
一部のユーザーは、apkcombo、apkpureなどのサードパーティサイトを通じてウォレットをダウンロードします。これらのサイトは自らのアプリがGoogle Play Storeからのミラーであると称していますが、その実際の安全性はどうでしょうか? SlowMistセキュリティチームは、Web3関連の偽ウォレットが提供されるサードパーティソースについて調査・分析を行いました。その結果、apkcomboが提供しているウォレットのバージョンは実際には存在しないことが判明しました。ユーザーが初期画面でウォレットを作成したり、リカバリーフレーズをインポートすると、偽ウォレットはその情報をフィッシングサイトのサーバーに送信してしまいます。

検索エンジン
検索エンジンの検索順位は購入可能であり、本物の公式サイトよりも偽の公式サイトが上位に表示されるケースも発生しています。そのため、ユーザーが検索エンジンでウォレット名を検索し、上位のリンクをクリックしてダウンロードするのは非常に危険です。この方法だと、簡単に偽の公式サイトに誘導され、偽ウォレットをダウンロードしてしまう可能性があります。公式サイトのURLを知らない場合、見た目だけでそれが本物かどうか判断するのは困難です。詐欺師が作成する偽サイトは、正規の公式サイトと見分けがつかないほど精巧に作られているため、Twitterや他のプラットフォームで他人が共有するリンクをクリックすることも推奨できません。これらはほとんどがフィッシングリンクです。

親族・知人/殺猪盤(サシボバン)
ブロックチェーンのダークフォレストではゼロトラストを貫く必要があります。あなたの親族や知人に悪意がなくても、彼らが入手したウォレットが偽物である可能性があります。まだ被害にあっていないだけかもしれません。そのため、彼らが共有するQRコードやリンク経由でウォレットをダウンロードすると、あなたも偽ウォレットをインストールしてしまうリスクがあります。
SlowMistセキュリティチームは多数の「殺猪盤」による被害報告を受け取りました。手口としては、まず被害者の信頼を得て、次に暗号通貨投資への参加を促し、偽ウォレットのダウンロードリンクを共有します。最終的に、感情も資産も失ってしまうという結末になります。よって、ネット上の見知らぬ人物には警戒が必要です。特に投資を勧められたり、出所不明のリンクを送られてきた場合は、決して信用しないでください。


Telegram
Telegram上で有名なウォレット名を検索すると、虚偽の「公式グループ」がいくつか存在することがわかります。詐欺師はそのグループが特定のウォレットの公式チャネルであると自称し、グループ内で「唯一の公式URLを確認せよ」と注意喚起さえしますが、実はそのリンクもすべて偽物です。

アプリストア
特に注意すべき点として、公式アプリストアに掲載されているアプリでも必ずしも安全とは限りません。不正な行為を行う者たちは、キーワード広告の購入などによってユーザーを騙し、詐欺アプリをダウンロードさせるように仕向けています。読者の皆さんは十分に見極める必要があります。

それでは、ユーザーはどのようにすれば偽ウォレットを避けることができるのでしょうか?
公式サイトからのダウンロード
正しい公式サイトを見つける能力は、ウォレットのダウンロードだけでなく、今後Web3プロジェクトに参加する際にも必要になります。ここでは、正しい公式サイトを見つける方法を説明します。
ユーザーはTwitterでプロジェクト運営元を直接検索し、フォロワー数、登録日時、ブルーチェックやゴールドチェックの有無などで公式アカウントかどうかを判断しようとするかもしれません。しかし、これらすべては偽装可能です。以前、私たちは「本物か偽物か|コメント欄の高精度なりすましアカウントに注意」という記事で、高精度なりすましアカウントを販売するグレーゾーン産業について紹介しています。そのため、初心者の方はまずTwitterで業界内のセキュリティ企業、セキュリティ専門家、有名メディアなどをフォローし、自分が見つけた公式アカウントがそれらのアカウントからフォローされているかを確認することをおすすめします。

(https://twitter.com/DefiLlama)
上記の方法で、おそらく本物の公式Twitterアカウントを見つけられるでしょう。しかし、それでも複数の情報源での検証が必要です。公式Twitterアカウントがハッキングされる事例は多く、ハッカーはアカウントに掲載された公式サイトリンクを偽サイトに差し替えることがあります。そのため、見つけた公式サイトのURLを、他の信頼できる情報源(DefiLlama、CoinGecko、CoinMarketCapなど)で確認したURLと照合してください:

(https://defillama.com/)

(https://landing.coingecko.com/links/)
公式サイトのURLを確認できたら、ブックマークに保存することをおすすめします。これにより、次回以降は毎回再確認せずに正しいリンクにアクセスでき、偽サイトにアクセスするリスクを低減できます。
アプリストア
Apple Store、Google Play Storeなどの公式アプリストアからウォレットをダウンロードすることも可能です。ただし、ダウンロード前に必ず開発者情報を確認し、公式が公開している開発者名と一致しているかを確かめてください。また、アプリの評価やダウンロード数も参考にしてください。

公式バージョンの検証
ここで疑問を持つ読者もいるでしょう。「実際にダウンロードしたウォレットが本物かどうか、どうやって確認すればいいのか?」 ユーザーはファイルの整合性検証を行うことができます。これは、ファイルのハッシュ値を比較することで、転送や保存中に変更されていないかを確認する方法です。ユーザーは、ダウンロードしたAPKファイルをハッシュ検証ツールにドラッグすれば、ツールがMD5やSHA-256などのハッシュ関数を使ってハッシュ値を生成します。この値が公式サイトで公表されているハッシュ値と一致すれば、本物のウォレットです。一致しなければ、偽物です。もし偽物だとわかった場合、どうすればよいでしょうか?
1. まず、漏洩の範囲を確認してください。偽ウォレットをダウンロードしただけで、秘密鍵/リカバリーフレーズを入力していない場合は、アプリを削除し、公式バージョンを再ダウンロードすれば問題ありません。
2. もし秘密鍵/リカバリーフレーズをすでに偽ウォレットに入力してしまった場合、それはすでに漏洩している状態です。公式サイトから正規のウォレットをダウンロードし、秘密鍵/リカバリーフレーズをインポートして新しいアドレスを作成し、移動可能な資産を迅速に移転してください。
3. 残念ながら暗号資産が盗まれてしまった場合、弊社では無料で事件評価のコミュニティ支援サービスを提供しています。以下の分類に従ってフォームを提出するだけでご利用いただけます(資金盗難/詐欺被害/身代金要求)。また、提出いただいたハッカーのアドレスは、InMist脅威インテリジェンス共同ネットワークに同期され、リスク管理に活用されます。(注:中国語フォームは https://aml.slowmist.com/cn/recovery-funds.html へ、英語フォームは https://aml.slowmist.com/recovery-funds.html へ提出してください)
偽ハードウェアウォレットを購入してしまう原因
以上は偽ウォレットをダウンロードしてしまう原因と対処法について説明しました。次に、なぜ偽のハードウェアウォレットを購入してしまうのかについて解説します。
一部のユーザーはオンラインショップでハードウェアウォレットを購入しますが、非公式代理店の販売する製品には大きなセキュリティリスクがあります。なぜなら、ウォレットがユーザーの手に渡るまでにどのくらいの人の手を経ているか、内部部品が改ざんされていないかは誰にもわかりません。内部が改ざんされていたとしても、外観や機能からは問題を発見することは非常に困難です。


(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
以下は、ハードウェアウォレットのサプライチェーン攻撃に対する対策です:
公式チャネルでの購入:これがサプライチェーン攻撃を防ぐ最も効果的な方法です。オンラインショップ、代行業者、個人ユーザーなど、非公式チャネルからのハードウェアウォレット購入は避けましょう。
外観の確認:ウォレット到着後、まずは外箱に破損や開封痕がないかを確認します。基本的なチェックですが、ハッカーがこの段階で露呈することは稀です。
公式サイトでの本物確認:一部のハードウェアウォレットは、公式サイトで本物確認サービスを提供しています。ウォレットの初期設定時に、デバイスがユーザーに公式サイトでの認証を促します。配送中にデバイスが改ざんされていた場合、この認証は失敗します。
分解自壊メカニズム:分解自壊機能付きのハードウェアウォレットを選ぶこともできます。誰かがデバイスを開いて内部部品を改ざんしようとすると、このメカニズムが作動し、セキュアチップ内の機密情報がすべて自動消去され、デバイスは使用不能になります。
秘密鍵/リカバリーフレーズの漏洩リスク
上記の内容で、本物のウォレットをダウンロードまたは購入する方法が理解できたと思います。しかし、秘密鍵/リカバリーフレーズの適切な保管もまた重要な課題です。秘密鍵/リカバリーフレーズは、ウォレットの復元と資産の管理に必要な唯一の証憑です。秘密鍵は64桁の16進数文字列(英数字)で構成され、リカバリーフレーズは通常12個の単語で構成されます。SlowMistセキュリティチームはここに警告します。秘密鍵/リカバリーフレーズが漏洩すれば、ウォレットの資産はほぼ確実に盗まれます。以下は、秘密鍵/リカバリーフレーズが漏洩する主な原因です:
不適切な保管:ユーザーが秘密鍵/リカバリーフレーズを親族に伝え、保管を依頼した結果、その親族に資産を盗まれるケースがあります。
ネット上での保存・転送:一部のユーザーは、他人に教えないことは知っていても、WeChatの「お気に入り」、写真撮影、スクリーンショット、クラウドストレージ、メモ帳などを使って秘密鍵/リカバリーフレーズを保存してしまいます。これらのアカウントがハッカーに収集・突破された場合、容易に情報が盗まれます。
コピー&ペースト:多くのクリップボードツールや入力方法は、ユーザーのクリップボード履歴をクラウドにアップロードするため、秘密鍵/リカバリーフレーズが安全でない環境に晒されます。また、マルウェアはユーザーが秘密鍵/リカバリーフレーズをコピーした瞬間にクリップボードの内容を盗むことも可能です。そのため、秘密鍵/リカバリーフレーズのコピー&ペーストは推奨しません。一見問題ないように見えても、実は重大な漏洩リスクを伴います。
では、秘密鍵/リカバリーフレーズの漏洩をどう防げばよいでしょうか?

まず第一に、秘密鍵/リカバリーフレーズを誰にも教えないこと。親族であっても例外ではありません。第二に、物理的な媒体での保管を優先し、ハッカーによるネット上の攻撃から守ることです。例えば、品質の良い紙に書き写して(ラミネートしても可)、またはリカバリーフレーズ専用のセーフティボックスを使用します。さらに、マルチシグの設定、秘密鍵/リカバリーフレーズの分散保管なども、セキュリティ向上に有効です。秘密鍵/リカバリーフレーズのバックアップ方法については、SlowMistが制作した『ブロックチェーンダークフォレスト自救ハンドブック』をご参照ください。
まとめ
今号では、ウォレットのダウンロード/購入におけるリスク、正しい公式サイトの探し方、ウォレットの真偽確認方法、および秘密鍵/リカバリーフレーズの漏洩リスクについて解説しました。今回の内容が、皆さんがダークフォレストに踏み出す最初の一歩を安全に進める助けになれば幸いです。次号では、ウォレット使用時のリスク(フィッシング、署名、許可に関するリスク)について解説します。ぜひご期待ください。(補足:本文中に登場するブランドおよび画像は、読者の理解を助けるためのものであり、推薦や保証を意味するものではありません)
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News









