
セキュリティ特別号 04|OKX Web3 & OneKey:デバイスセキュリティに「バフ」を追加
TechFlow厳選深潮セレクト

セキュリティ特別号 04|OKX Web3 & OneKey:デバイスセキュリティに「バフ」を追加
暗号資産用ハードウェアウォレットベンダーOneKeyのセキュリティチームとOKX Web3ウォレットのセキュリティチームを特別に招き、実践ガイドの視点から、デバイスのセキュリティ強化方法(「バフ」追加)を解説します。
はじめに
OKX Web3ウォレットは特別企画「セキュリティ特集」を立ち上げ、さまざまなタイプのブロックチェーン上におけるセキュリティ問題について、各号で専門的に解説します。ユーザーの身近なリアルな事例を取り上げ、セキュリティ分野の専門家や機関と連携し、異なる視点から二重の共有と回答を行うことで、取引の安全ルールを段階的に整理・要約することを目指しています。これにより、ユーザー教育を強化するとともに、ユーザー自身が秘密鍵やウォレット資産の保護方法を学び、自らの資産を守る力を身につけることを支援します。
Web3の世界をサーフィンするには、2つの出費は惜しまないことです。
1つはオンチェーンのGas手数料。もう1つはオフチェーンでの装備購入です。
しかし、オンチェーンでもオフチェーンでも、セキュリティは同様に重要です~
今号は「セキュリティ特集」第04号。暗号ハードウェアウォレットメーカーOneKeyのセキュリティチームと、OKX Web3ウォレットのセキュリティチームを特別に招き、実践的なガイドラインの観点から、デバイスのセキュリティをさらに強化する「バフ」の付け方をお教えします。

OneKeyセキュリティチーム:OneKeyは2019年に設立された、オープンソースのハードウェアおよびソフトウェアウォレットに特化したセキュリティ企業であり、セキュリティ攻防ラボも保有しています。Coinbase、Ribbit Capital、Dragonflyなど一流投資機関からの支援も受けています。現在、OneKeyのハードウェアウォレットはアジアで最も販売されているブランドの一つとなっています。
OKX Web3ウォレットセキュリティチーム:こんにちは、本日の共有をとても嬉しく思います。OKX Web3ウォレットセキュリティチームは、OKXのWeb3分野における各種セキュリティ能力の構築を担当しており、ウォレットのセキュリティ機能、スマートコントラクトのセキュリティ監査、プロジェクトのオンチェーン監視などを通じて、製品の安全性、資金の安全性、取引の安全性など多面的な保護サービスを提供し、ブロックチェーン全体のセキュリティエコシステムの維持に貢献しています。
Q1:ユーザーの実際のデバイスリスク事例をいくつか紹介できますか?
OneKeyセキュリティチーム:Web3ユーザーに関連するデバイスリスク事例は多様性を持っています。ここでは、特に一般的な事例をいくつかご紹介します。
事例1:ユーザーAliceが自分のデバイスを離れた際、知らぬ間に周囲の人間に物理的に侵入され、資産を盗まれました。これはコンピューターセキュリティの分野では「イビルメイド攻撃(Evil Maid Attack)」と呼ばれるもので、ユーザーが遭遇する最も一般的なデバイスリスクの一つです。
「毛ガネ工房」の同僚、部屋を掃除する清掃員、あるいは最愛のパートナーさえも、金銭を目当てにした攻撃者になる可能性があります。以前、当社はハードウェアウォレット内の資産が盗まれたユーザーの調査を支援したことがありますが、そのユーザーが警察に届け出た結果、取引所から攻撃者が使用した口座のKYC情報を取得し、最終的には身内による犯行であることが判明しました。「いくら注意しても、内輪の盗みは防げない」ということですね。
事例2:ユーザーBobが物理的脅迫を受け、資産管理権限を持つデバイスを仕方なく渡さざるを得ませんでした。この現象は暗号業界では皮肉な名前で呼ばれています――「5ドルのレンチ攻撃($5 Wrench Attack)」です。
近年、Cryptoの富の拡大効果が注目される中、高純資産層に対する拉致・恐喝事件がますます深刻化しています。特に犯罪率の高い国では顕著です。2023年初頭、ある報道機関が仮想通貨の対面取引中に強盗に遭った事例を報じました。被害者は暗号資産投資家の交流会に参加していたところ、食事後に車内で拘束され、不正分子に顔認証でスマホとウォレットアプリを解除させられ、ウォレット内の暗号資産を410万USDTに交換して即座に送金・逃走されました。最近では、Twitter上で有名なマイニング業界のベテランが、国際犯罪組織に襲われ、一生かけて蓄えた大部分の暗号資産を奪われたと投稿し、話題になっています。
OKX Web3ウォレットセキュリティチーム:今日は非常に良いテーマですね。これまで私たちは、秘密鍵のセキュリティ、MEME取引の安全、毛ガネ活動の安全など、多くのオンチェーンセキュリティテーマについて話してきましたが、実際、デバイスのセキュリティも非常に重要です。ここでは、いくつかの古典的な事例をご紹介します。
事例1:改ざんされたハードウェアウォレット
ユーザーAは非公式プラットフォームからハードウェアウォレットを購入し、検証せずに使用を始めました。実際、このウォレットのファームウェアは改ざんされており、複数のリカバリフレーズが事前に生成されていました。結果として、ユーザーがこのハードウェアウォレットに保管していた暗号資産は完全にハッカーに掌握され、甚大な損失を被りました。
予防策:1)ユーザーは可能であれば公式または信頼できるチャネルからハードウェアウォレットを購入してください。2)使用前に公式の完全な検証プロセスを実施し、ファームウェアの安全性を確認してください。
事例2:フィッシング攻撃
ユーザーBは、「ウォレットセキュリティセンター」を名乗るメールを受け取り、ウォレットにセキュリティ上の問題があるため、リカバリフレーズを入力してセキュリティ更新を行うよう求められました。実際は精巧に設計されたフィッシング攻撃であり、ユーザーは最終的にすべての資産を失いました。
予防策:1)未検証のサイトに絶対に秘密鍵やリカバリフレーズを入力しないでください。2)ハードウェアウォレットの画面を使って、すべての取引や操作内容を確認してください。
事例3:ソフトウェアのセキュリティ
ユーザーCは検証されていないチャネルから悪意のあるソフトウェアをダウンロードしました。ウォレット操作中に、そのソフトウェアの悪意あるロジックによって資産が損失しました。
予防策:1)公式チャネルからソフトウェアをダウンロードし、定期的にソフトウェアやファームウェアを更新してください。2)ウイルス対策ソフトとファイアウォールを使用してデバイスを保護してください。
Q2:ユーザーがよく使う物理デバイスや設備、およびそのリスクの種類
OneKeyセキュリティチーム:ユーザーの資産セキュリティに関わるデバイスとしては、通常、スマートフォン、パソコン、ハードウェアウォレット、USBストレージデバイス、ネットワーク通信機器(Wi-Fiなど)が挙げられます。
先ほど触れた「イビルメイド攻撃(Evil Maid Attack)」や暴力犯罪の「5ドルレンチ攻撃($5 Wrench Attack)」に加え、以下にも特に注意すべきポイントを補足します。
一、ソーシャルエンジニアリングとフィッシング攻撃
ソーシャルエンジニアリングとフィッシング攻撃は、現在非常に一般的かつ効果的な攻撃手段です。攻撃者は人間の心理的弱みを利用して、ユーザーに危険な操作を誘導します。例えば、悪意あるフィッシングリンクや添付ファイル。攻撃者は、銀行通知やSNSプラットフォームの警告など、信用できる情報源を装って、悪意あるリンクを含むメール、SMS、SNSメッセージを送信することがあります。一度ユーザーがリンクをクリックしたり、添付ファイルをダウンロードしたりすると、マルウェアがデバイスに感染し、遠隔からの侵入が可能になります。
また、サポート担当者を装うケースもあります。攻撃者は電話やメールでサポート担当者を装い、ユーザーのデバイスに問題があると伝え、直ちに対処する必要があると誘導します。そして、ユーザーにリモートアクセス権を与えるよう促したり、機密情報を漏洩させたりします。現在、Twitter上で暗号資産に関する用語を発言すれば、すぐに多数のボットが「サポート」を装って接近してきます。
二、サプライチェーン攻撃
サプライチェーン攻撃とは、攻撃者がデバイスの製造または輸送過程において悪意あるコードを埋め込むことを指します。具体的には以下の3点です。
1つ目はハードウェアの改ざん。攻撃者は、ハードウェアウォレットやUSBストレージデバイスの製造工程中にマルウェアを埋め込むことがあります。信頼できない出所からハードウェアを購入した場合、改ざん済みのデバイスを受け取る可能性があり、そのデバイスには情報窃取や遠隔アクセスを可能にするマルウェアが予めインストールされているかもしれません。
2つ目はソフトウェアの改ざん。攻撃者は、デバイスのソフトウェアサプライチェーンを攻撃し、ソフトウェアやファームウェアのアップデートパッケージを改ざんします。ユーザーがそれらをダウンロード・インストールすると、バックドアや他のマルウェアがデバイスに植え付けられる可能性があります。
3つ目は物流攻撃。輸送途中で、攻撃者がデバイスを傍受して改ざんする可能性があります。配送中にハードウェアが交換・改ざんされ、後続の攻撃に利用されるのです。
三、中間者攻撃(Man-in-the-Middle Attack, MITM)
中間者攻撃とは、通信の両者の間でデータのやり取りを傍受・改ざんする攻撃のことです。
例えば、ユーザーが暗号化されていないネットワーク通信を使う場合、攻撃者は簡単にデータを傍受・改ざんできます。つまり、暗号化されていないHTTPサイトを利用すると、ユーザーが送受信するデータが攻撃者に読み取られ・書き換えられる可能性があります。
また、公共Wi-Fiも同様です。公共Wi-Fiを利用する際、ユーザーのデータ通信はより容易に攻撃者に傍受されます。攻撃者は悪意あるWi-Fiホットスポットを設置し、ユーザーが接続すると、ログイン情報や銀行取引記録などの機密情報を監視・窃取できます。自宅のWi-Fiでさえ、極端な場合はマルウェアに感染する可能性があります。
四、第三者内部攻撃とソフトウェアの脆弱性
第三者の内部攻撃やソフトウェアの脆弱性は、ユーザーにとって制御不能なリスクですが、物理デバイスのセキュリティに大きな影響を与えます。
最も一般的なのはソフトウェア・ハードウェアのセキュリティ脆弱性です。これらの脆弱性は、攻撃者に悪用され、遠隔攻撃や物理的バイパス攻撃に使われることがあります。例えば、特定のプラグインやアプリに未発見の脆弱性があり、攻撃者はそれを通じてデバイスの制御権を獲得する可能性があります。これは通常、セキュリティアップデートを継続的に適用することで解決可能です。また、ハードウェア側では最新の暗号化チップの使用を検討する必要があります。
ソフトウェア開発者やサービス提供者の内部スタッフによる悪用行為も問題です。内部スタッフがアクセス権を悪用して、ユーザー情報を盗んだり、ソフトウェアに悪意あるコードを埋め込んだりする可能性があります。外部要因によって悪意ある行動が引き起こされることもあります。
例えば、以前「毛ガネ工房」が複数アカウントを管理できるフィンガープリントブラウザを使っていたために資産が盗まれた事例がありますが、これはソフトウェアやプラグインの内部からの悪意による可能性が高いです。合法なソフトウェアであっても、内部統制が不十分であれば、ユーザーの資産安全に脅威を与えることがあるのです。
また、Ledgerが以前、大きな混乱を引き起こした攻撃がありました。多くのdAppで使われているConnect Kitに問題が生じたのです。原因は元従業員がフィッシング攻撃の被害に遭い、攻撃者がGitHubリポジトリに悪意あるコードを挿入したためでした。幸い、Ledgerのセキュリティチームは問題を報告されてから40分以内に修正措置を展開し、Tetherも迅速に攻撃者のUSDTを凍結しました。
OKX Web3ウォレットセキュリティチーム:ユーザーがよく使う物理デバイスをまとめ、潜在的なリスクについて解説します。
現在、ユーザーがよく使う物理デバイスは主に以下の通りです。1)デスクトップPCおよびノートパソコン:分散型アプリ(dApps)へのアクセス、暗号資産ウォレットの管理、ブロックチェーンネットワークへの参加などに使用。2)スマートフォンおよびタブレット:モバイル環境でdAppsにアクセスし、ウォレットを管理し、取引を行う。3)ハードウェアウォレット:Ledger、Trezorなどの専用デバイスで、暗号資産の秘密鍵を安全に保管し、ハッキングから保護。4)ネットワークインフラ:ルーター、スイッチ、ファイアウォールなど、ネットワーク接続の安定性と安全性を確保。5)ノードデバイス:ブロックチェーンノードを稼働させるソフトウェアデバイス(個人用PCまたは専用サーバー)、ネットワークの合意形成とデータ検証に参加。6)コールドストレージデバイス:USBドライブ、ペーパーウォレットなど、オフラインで秘密鍵を保存し、オンライン攻撃から保護。
現在の物理デバイスが抱える潜在的リスクは主に以下の通りです。
1)物理デバイスリスク
• デバイスの紛失または破損:ハードウェアウォレットやPCなどが紛失・破損した場合、秘密鍵が失われ、暗号資産にアクセスできなくなる可能性があります。
• 物理的侵入:犯罪者が物理的手法でデバイスに侵入し、直接秘密鍵や機密情報を取得する。
2)ネットワークセキュリティリスク
• マルウェアおよびウイルス:マルウェアによってユーザーのデバイスを攻撃し、秘密鍵や機密情報を盗む。
• フィッシング攻撃:正当なサービスを装い、ユーザーに秘密鍵やログイン情報を入力させる。
• 中間者攻撃(MITM):攻撃者がユーザーとブロックチェーンネットワーク間の通信を傍受・改ざんする。
3)ユーザー行動リスク
• ソーシャルエンジニアリング攻撃:攻撃者が心理的戦術を用いて、ユーザーに秘密鍵や機密情報を漏らさせる。
• 操作ミス:ユーザーが取引や資産管理中に誤操作し、資産を失う可能性がある。
4)技術リスク
• ソフトウェアの脆弱性:dApps、暗号ウォレット、ブロックチェーンプロトコルの脆弱性がハッカーに悪用される。
• スマートコントラクトの脆弱性:スマートコントラクトコードのバグにより、資金が盗まれる可能性がある。
5)規制および法的リスク
• 法的コンプライアンス:各国・地域で暗号資産やブロックチェーン技術に対する規制が異なり、ユーザーの資産安全や取引自由に影響する可能性がある。
• 規制の変化:政策の急激な変化により、資産が凍結されたり、取引が制限されたりする。
Q3:ハードウェアウォレットは秘密鍵のセキュリティに必須ですか? 秘密鍵の保護方法にはどのようなものがありますか?
OneKeyセキュリティチーム:もちろん、ハードウェアウォレットは秘密鍵のセキュリティの唯一の選択肢ではありませんが、確かに秘密鍵のセキュリティを強化する非常に効果的な手段です。最大の利点は、秘密鍵の生成、記録、日常的な保管をインターネットから完全に切り離し、あらゆる取引を実行する際に、ユーザーが物理デバイス上で直接取引内容を検証・承認することを求めることです。この特性により、マルウェアやハッカーによる秘密鍵の盗難リスクを効果的に遮断できます。
まず、ハードウェアウォレットのメリットをご説明します。
1)物理的分離:ハードウェアウォレットは、秘密鍵を専用デバイス内に格納し、ネット接続されたPCやモバイル端末から完全に隔離します。つまり、ユーザーのPCやスマホがマルウェアに感染しても、秘密鍵はインターネットに接触しないため安全です。
2)取引検証:ハードウェアウォレットで取引を行う際、ユーザーはデバイス上で直接取引内容を確認・承認する必要があります。このプロセスにより、攻撃者がユーザーのオンラインアカウント情報を入手しても、無断で資産を移動することはできません。
3)セキュリティチップ:多くのハードウェアウォレットは、秘密鍵を保存する専用セキュリティチップを使用しています。これらのチップは厳格なセキュリティ認証(CC EAL6+など、OneKey ProやLedger Staxなどの新型ハードウェアウォレットが採用)を受けており、物理的バイパス攻撃に対して効果的に防御できます。セキュリティチップは不正アクセスを防ぐだけでなく、電磁解析や電力解析攻撃といった高度な攻撃手法にも耐えます。
ハードウェアウォレット以外にも、秘密鍵の安全性を高める方法はいくつかあり、ユーザーは自身のニーズに応じて適切な方法を選べます。
1)ペーパーウォレット:秘密鍵と公開鍵を紙に印刷するオフライン保管方法です。シンプルで完全にオフラインですが、火災、湿気、紛失などの物理的リスクに注意が必要です。条件が許せば、金属プレートに刻印して物理的に記録するのがおすすめです(市販品も多く、例えばOneKeyのKeyTagなど)。
2)スマホコールドウォレット:コールドウォレットとは、完全にオフラインで秘密鍵や暗号資産を保管する方法です。例えば、オフラインのスマホやPC。ハードウェアウォレットと同様にネット攻撃を回避できますが、ユーザー自身で設定・管理を行う必要があります。
3)分割暗号化保管:秘密鍵を複数の部分に分割し、異なる場所に別々に保管する方法です。攻撃者が一部の鍵を取得しても、完全な復元は不可能です。この方法は攻撃の難易度を高め、安全性を向上させますが、ユーザーは各分割鍵を管理し、一部が紛失して復元不能にならないよう注意が必要です。
4)マルチシグネチャ(Multisig):複数の秘密鍵が共同で署名することで取引を完了させる技術です。単一の秘密鍵が盗まれても資産が移動されないよう、安全性を高めます。例えば、三方署名のマルチシグアカウントを設定し、少なくとも2つの秘密鍵が同意した場合のみ取引を実行可能にします。これにより、安全性が向上し、より柔軟な管理・制御が可能になります。
5)暗号技術の革新:技術の進展とともに、新たな暗号技術が秘密鍵保護に応用されています。例えば、しきい値署名(Threshold Signature Scheme, TSS)やマルチパーティ計算(Multi-Party Computation, MPC)など、分散計算と協働方式により、秘密鍵管理の安全性と信頼性をさらに高めます。ただし、これらは主に企業向けで、個人利用は稀です。
OKX Web3ウォレットセキュリティチーム:ハードウェアウォレットは、秘密鍵を独立したオフラインデバイスに格納することで、ネット攻撃、マルウェア、その他のオンライン脅威からの盗難を防ぎます。ソフトウェアウォレットや他の保管方法と比較して、より高いセキュリティを提供し、特に大量の暗号資産を保護したいユーザーに適しています。秘密鍵の保護対策は、おおよそ以下の観点から考えられます。
1)信頼できる保管デバイスの使用:信頼できるハードウェアウォレットやその他のコールドストレージデバイスを選び、ネット攻撃による盗難リスクを低減する。
2)徹底したセキュリティ意識教育:秘密鍵の保護の重要性を認識し、秘密鍵の入力を求めるページやプログラムに対して常に警戒心を持つ。秘密鍵をコピー・ペーストする際は、一部だけコピーし、残りの文字は手動入力することでクリップボード攻撃を防ぐ。
3)リカバリフレーズと秘密鍵の安全保管:写真撮影、スクリーンショット、オンライン記録を避け、紙に書き留めて安全な場所に保管する。
4)秘密鍵の分離保管:秘密鍵を複数に分割し、異なる場所に別々に保管することで、単一障害点のリスクを減らす。
Q4:現在の身元認証およびアクセス制御における脆弱性
OneKeyセキュリティチーム:ブロックチェーンは、Web2のようにユーザーの身元情報を識別・保存する必要はありません。代わりに暗号技術を通じて資産のセルフホスティングとアクセスを実現しています。つまり、秘密鍵がすべてです。ユーザーが暗号資産へのアクセス制御で直面する最大のリスクは、秘密鍵の不適切な保管に起因します。なぜなら、秘密鍵は暗号資産にアクセスする唯一の証明だからです。秘密鍵を紛失・盗難・自然災害などで失えば、資産を永久に失う可能性があります。
これがOneKeyなどのブランドが存在する意義であり、ユーザーに安全な秘密鍵セルフホスティングソリューションを提供しています。多くのユーザーは秘密鍵管理時にセキュリティ意識が不足しており、オンライン文書やスクリーンショットなど、安全でない方法で保管することがあります。最も良い方法はオフラインでの生成・保管です。サイコロを振って手書きする方法のほか、前述のハードウェアウォレットとリカバリフレーズ用の金属プレートを組み合わせる方法も検討できます。
もちろん、多くのユーザーは取引所のアカウントに直接資産を保管しており、この場合の身元認証とアクセス制御はWeb2に近くなります。
これはユーザーのパスワードセキュリティ意識にかかわります。弱いパスワードや同一パスワードの使い回しは一般的な問題です。ユーザーは簡単で推測しやすいパスワードを使ったり、複数のプラットフォーム(例:認証用メールアドレス)で同じパスワードを使い回したりすることで、ブルートフォース攻撃やデータ漏洩後の被害リスクが高まります。
このような状況下で、多要素認証(SMS認証コード、Google Authenticatorなど)はセキュリティを高めますが、実装が不十分だったり、脆弱性があったり(例:SMSハイジャック)すれば、攻撃対象になることもあります。例えば、SMSハイジャックの一種であるSIMスワップ攻撃――攻撃者が移動通信事業者の従業員をだまして、被害者の電話番号を攻撃者が所有するSIMカードに移行させ、被害者のスマホ宛てのすべてのSMS認証コードを受信するのです。以前、Vitalikも「SIM SWAP」攻撃に遭い、彼のTwitterアカウントからフィッシング情報を発信され、多数のユーザーが資産を失いました。また、「Google Authenticator」のような多要素認証ツールのバックアップコードを不適切に保管すれば、攻撃者に取得され、アカウント攻撃に利用される可能性があります。
OKX Web3ウォレットセキュリティチーム:非常に重要なテーマです。現在注目すべき点は以下の通りです。
1)弱いパスワードとパスワードの再利用:ユーザーはしばしば簡単で推測しやすいパスワードを使ったり、複数のサービスで同じパスワードを使い回したりし、ブルートフォース攻撃や他の漏洩経路からの取得リスクが高まります。
2)多要素認証(MFA)の不備:Web2ではMFAがセキュリティを大幅に向上させますが、Web3ウォレットでは一度秘密鍵が漏れると、攻撃者がアカウントの全操作権を握ることになり、効果的なMFAメカニズムを構築することが困難です。
3)フィッシング攻撃とソーシャルエンジニアリング:攻撃者はフィッシングメール、偽サイトなどを通じてユーザーに機密情報を漏らさせる。現在のWeb3向けフィッシングサイトは組織化・サービス化しており、十分なセキュリティ意識がなければ簡単に騙されます。
4)APIキーの管理不備:開発者がAPIキーをクライアントアプリにハードコーディングしたり、適切な権限制御や期限管理を行わなかったりすると、キーが漏洩して悪用される可能性があります。
Q5:ユーザーはAIフェイクなど新興のバーチャル技術がもたらすリスクをどのように予防すべきですか?
OneKeyセキュリティチーム:2015年のBlackHatカンファレンスで、世界中のハッカーが一致して、顔認識技術は最も信頼できない身元認証方法だと判断しました。それから10年近く経ち、AI技術の進歩により、ほぼ完璧な顔置換の「魔法」が可能になりました。確かに、従来の視覚的顔認識ではもはや安全を保証できません。そのため、検出側がアルゴリズム技術をアップグレードし、ディープフェイクコンテンツを識別・阻止する必要があります。
AIフェイクなどのリスクに関して、ユーザー側でできることはあまり多くありません。以下にいくつかの小さなアドバイスを示します。
1)顔認識アプリの慎重な使用
ユーザーは顔認識アプリを選ぶ際、良好なセキュリティ記録とプライバシーポリシーを持つアプリを選びましょう。不明な出所やセキュリティに疑問のあるアプリの使用を避け、ソフトウェアを定期的に更新して最新のセキュリティパッチを適用してください。以前、中国国内の多くの中小ローンアプリがユーザーの顔データを違法に売買し、顔データを漏洩させていました。
2)多要素認証(MFA)の理解
単一の生体認証には大きなリスクがあります。そのため、複数の認証方法を組み合わせることで安全性を大幅に高めることができます。多要素認証(MFA)は、指紋、虹彩スキャン、声紋、さらにはDNAデータなど、複数の検証方法を組み合わせます。検出側にとっては、ある認証方法が突破されても、追加のセキュリティ層が提供されます。ユーザーにとっては、これらのプライバシーデータの保護が非常に重要です。
3)疑念を持ち、詐欺に注意
明らかに、AIによって顔や声が模倣できるようになった今、ネット越しに他人を装うことは非常に簡単になりました。ユーザーは、機密情報や資金移動に関する要求に対して特に警戒し、二重確認を行い、電話や対面で相手の身元を確認するべきです。緊急の要求を安易に信じず、偽の幹部、知人、カスタマーサポートなどの典型的な詐欺手段を認識しましょう。現在、有名人を装うケースも増え、プロジェクト参加の際も「偽の支援」に注意が必要です。
OKX Web3ウォレットセキュリティチーム:一般に、新興のバーチャル技術は新しいリスクをもたらしますが、そのリスクは逆に新たな防御手法の研究を促進し、それが新たなリスク管理製品を生み出します。
一、AI偽造リスク
AIフェイク領域では、すでに多くのAIフェイク検出製品が登場しています。産業界では、deepfake使用による独特の要素(フィンガープリント)を検出し、偽の人物動画を自動判定する手法が提案されています。ユーザーは、顔の特徴、境界処理、音声と映像の同期ずれなどを注意深く観察することで、AIフェイクを見抜くことができます。また、Microsoftはdeepfakeの識別能力を教えるツール群を提供しており、ユーザーはそれらを学習して個人の識別力を高められます。
二、データとプライバシーリスク
大規模モデルのさまざまな分野への応用は、ユーザーのデータとプライバシーリスクをもたらしています。チャットボットの使用時、ユーザーは個人情報の保護に注意し、秘密鍵、APIキー、パスワードなどの重要な情報を直接入力しないようにしましょう。代替やごまかしの方法で重要な情報を隠すことをお勧めします。開発者向けには、Githubが便利な検出機能を提供しており、提出コードにOpenAI APIキーなどリスクのあるプライバシー漏洩が含まれていると、Push時にエラーが表示されます。
三、コンテンツ生成の乱用リスク
ユーザーの日常業務では、大規模モデルによる生成コンテンツに頻繁に遭遇します。これらのコンテンツは有効ですが、生成の乱用は虚偽情報や知的財産権の問題を引き起こします。現在、テキストが大規模モデルによって生成されたかどうかを検出する製品も登場しており、関連リスクを軽減できます。また、開発者が大規模モデルでコードを生成する際は、生成コードの機能の正確性と安全性に注意し、特にセンシティブまたはオープンソースとするコードについては、十分なレビューと監査を行う必要があります。
四、日常的な関心と学習
ユーザーは日常的にショート動画、長尺動画、各種記事を閲覧する際、意識的にAI偽造またはAI生成コンテンツかどうかを判断・識別するべきです。典型的なナレーション音声、読み間違い、よくあるフェイク動画などを覚えておき、重要な場面では意識的にこれらのリスクを判断・識別しましょう。
Q6:専門的な観点から、物理デバイスのセキュリティアドバイスを教えてください
OneKeyセキュリティチーム:前述のさまざまなリスクに基づき、保護策を簡単にまとめます。
1、ネット接続デバイスの侵入リスクに注意
日常生活では、ネット接続デバイスが至る所にありますが、それにより潜在的な侵入リスクも伴います。機密データ(秘密鍵、パスワード、MFAバックアップコードなど)を保護するため、強力な暗号化手法を使用し、ネットから切り離した保管方法を可能な限り選ぶべきです。これらの機密情報を平文でデバイスに保存しないようにしましょう。また、フィッシングやトロイの木馬攻撃に対する警戒心を常に持ち続けましょう。暗号資産操作用の専用デバイスとその他の用途のデバイスを分けることも検討してください。これにより、一方のデバイスが攻撃されても、他方は安全を保てます。例えば、日常的に使うノートPCと、暗号資産管理用のハードウェアウォレットを分けることで、片方が攻撃されても、もう一方は安全です。
2、物理的な監視と保護の維持
高リスクデバイス(ハードウェアウォレットなど)の安全をさらに確保するため、厳格な物理的監視と保護措置を講じる必要があります。家庭内のこれらのデバイスは、高基準の防犯金庫に保管し、ビデオ監視や自動警報機能を備えた総合スマートセキュリティシステムを導入しましょう。外出時には、セキュリティ保管施設付きのホテルを選ぶことが重要です。多くの高級ホテルでは専用のセキュリティ保管サービスを提供しており、デバイスに追加の保護を提供できます。また、携帯用の小型金庫を持ち歩くことも検討し、いかなる状況でも重要なデバイスを保護しましょう。
3、リスク暴露の削減と単一故障点の防止
デバイスと資産を分散保管することは、リスクを低減する鍵となる戦略の一つです。すべての高権限デバイスや暗号資産を一つの場所や一つのウォレットに集中させず、異なる地理的位置にある安全な場所に分散保管することを検討しましょう。例えば、自宅、オフィス、信頼できる親族の家にそれぞれ一部のデバイスや資産を保管できます。また、複数のホットウォレットとハードウェアコールドウォレットを使用するのも効果的です。各ウォレットに一部の資産を保管することで、単一故障点のリスクを減らせます。さらにセキュリティを高めるには、マルチシグウォレットの使用もおすすめです。複数の承認署名が必要なため、取引の安全性が大幅に向上します。
4、最悪の事態を想定した緊急対応策
潜在的なセキュリティ脅威に直面する際、最悪のケースを想定した緊急対応策を策定することが極めて重要です。高純資産層にとって、控えめな行動を心がけることは、標的とならないための有効な戦略です。公開の場で暗号資産を誇示せず、財産情報を控えめに保つようにしましょう。また、デバイスの紛失や盗難に備えた緊急計画を立てることも必要です。誘い出すための偽の暗号ウォレットを用意し、万一の強盗に対応できるようにしておくこともできます。また、重要なデバイスのデータをリモートでロックまたは消去できるように設定しておく(バックアップがある前提で)。高リスク地域で公に移動する際は、私人警備チームを雇うことで追加の安全保障を得られ、特別VIPセキュリティチャネルや高セキュリティホテルを利用することで、安全とプライバシーを確保できます。
OKX Web3ウォレットセキュリティチーム:二つのレベルに分け、紹介します。一つはOKX Web3 APPレベル、もう一つはユーザー自身のレベルです。
1、OKX Web3 APPレベル
OKX Web3ウォレットは、アプリの強化のためにアルゴリズム難読化、ロジック難読化、コード整合性検出、システムライブラリ整合性検出、アプリ改ざん防止、環境セキュリティ検出など、複数の強化・検出手法を採用しており、ユーザーがアプリを使用中にハッカー攻撃を受ける確率を最大限に低下させています。同時に、ブラックマーケットによるアプリの再パッケージングも最大限に防ぎ、偽アプリのダウンロードリスクを低減しています。
また、Web3ウォレットのデータセキュリティ面では、最先端のハードウェアセキュリティ技術を活用し、チップレベルの暗号化手段でウォレット内の機密データを暗号化しています。この暗号化データはデバイスチップと紐づけられており、データが盗まれても誰も解読できません。
2、ユーザー自身のレベル
ハードウェアウォレット、常用PC、スマートフォンなど、ユーザーが関わる物理デバイスに関して、以下の点からセキュリティ意識を高めることをおすすめします。
1)ハードウェアウォレット:有名ブランドのハードウェアウォレットを使用し、公式チャネルから購入してください。隔離された環境で秘密鍵を生成・保管します。秘密鍵の保管媒体は防火・防水・防犯性能を持つものが望ましいです。防火・防水金庫の使用を推奨し、秘密鍵やリカバリフレーズを異なる安全な場所に分散保管することで安全性を高めます。
2)電子デバイス:ソフトウェアウォレットをインストールするスマホやPCは、セキュリティとプライバシーに優れたブランド(例:Apple)を選び、不要なアプリのインストールを減らし、クリーンなシステム環境を保ちましょう。AppleのID管理システムによるマルチデバイスバックアップを活用し、単一デバイスの故障を防ぎます。
3)日常使用:公共の場でウォレットデバイスの機密操作を行わないようにし、カメラに記録されて情報が漏れないよう注意。信頼できるウイルス対策ソフトで定期的にデバイス環境をスキャン。物理デバイスの保管場所の安全性を定期的に確認してください。
最後に、OKX Web3ウォレット「セキュリティ特集」第04号をお読みいただきありがとうございます。現在、第05号の準備を鋭意進めています。リアルな事例、リスク識別の方法、セキュリティ操作の実践的ノウハウなど盛りだくさんでお届けしますので、どうぞお楽しみに!
免責事項:
本記事は参考情報提供を目的としており、(i) 投資助言または投資勧告、(ii) デジタル資産の購入・売却・保有の申し出または勧誘、(iii) 金融・会計・法務・税務アドバイスを意図するものではありません。保有するデジタル資産(ステーブルコインやNFTを含む)には高いリスクが伴い、価格が大きく変動し、価値がゼロになる可能性もあります。取引または保有が自分に適しているかは、自身の財務状況を踏まえて慎重に判断してください。また、現地の適用法規を理解し、遵守するのは自己責任となります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News









