
最近の不正アクセス事件についての考察――アカウントをどう守るか?
TechFlow厳選深潮セレクト

最近の不正アクセス事件についての考察――アカウントをどう守るか?
必要でない限り、身の回りの誰にも自分が暗号通貨を取引していることを知られないようにすること。
執筆:王富貴児
最近、盗難事件を多く目にするが、いずれもプラットフォーム側が責任を負って補償しているようだ。しかしユーザー自身も、アカウントのセキュリティレベルを自ら高めるべきである。結局のところ、お金は自分のものなのだから。「君子危うきに近寄らず」という古人の教えがある。つまりリスクそのものが発生しないようにすることが最も重要であり、「火事場のくすぶりを消す」ような後手後手の対応で損失を減らすのではなく、リスクを先回りして回避するこそが、最も高度なリスク管理なのである。
資金の分散—資産規模に関わらず、少なくとも資金を2つに分けて保管すること。可能であれば異なる2つのプラットフォームに分けるのが望ましい。もし特定のプラットフォームしか使わないという場合でも、少なくとも2つのアカウントに分けておくべきだ。
簡単なパスワードを使わない—一見すると何の役にも立たず不要に思えるが、実は最も重要なことである。必ず大文字・小文字・記号を組み合わせたパスワードを使用すること。多くのプラットフォームではすでにこれを強制しているが、依然として大文字や記号を必要としない設定が可能なサイトもある。たとえウェブサイトのログイン、メールアドレスの登録、ゲームのプレイなどであっても、常に十分な強度を持つパスワードを設定すべきである。
パスワードの使い回しをしない—取引プラットフォームのセキュリティは十分高いから、自分のパスワードが漏れることはないと思うかもしれない。しかし現在は、あらゆるウェブサイトやアプリに登録が必要であり、すべてのサービスがユーザーの安全をしっかり守っているわけではない。もしあなたが「オンライン成人映画」サイトに登録した際のパスワードが他のアカウントと共通だった場合、そのサイトが悪意を持っていたりセキュリティ上の問題を起こせば、あなたのすべてのアカウントが丸裸になってしまうだろうか?
定期的にパスワードを変更する—これは伝統的な金融機関がよく行っていることで、頻繁なリマインドに辟易する人もいるかもしれない。しかし実際、彼らはユーザーに対しても同じことを推奨しており、社内のシステムログインに関してはさらに厳格に運用している。以前使ったパスワードを再利用できないようにさえしているのだ。いつパスワードが取得され、いつ攻撃が開始されるか分からない以上、わずらわしさを感じても定期的にパスワードを変更することで、こうしたリスクを防ぐべきである。
サードパーティアプリの認証—TwitterやDiscord、あるいは各プラットフォームにおいて、外部アプリとの連携時にしばしば第三者認証の要求が出てくる。まず、認証時に付与される権限内容をよく読み、過剰な権限を与えてはならない。次に、使用後にすぐに第三者認証を解除すること。また次に使うときは再度認証すればよい。どうしても連携が必要な場合は、メインアカウントではなく予備のアカウントを使うようにし、メインアカウントをリスクにさらさないことが重要である。
ログイン履歴とデバイス管理の定期確認—自分以外が追加したデバイスや、自分が行っていないログイン情報を注意深く監視し、速やかに削除することはもちろん、自分がもう使わなくなったデバイスも削除しておくべきだ。紛失、修理、売却などをきっかけにリスクが発生するのを防ぐためである。メールアカウントのセキュリティ設定でも同様の操作を行うこと。
API権限の制御—APIは使わないに越したことはない。どうしても使う必要がある場合は、APIの権限を厳密に制限すること。今回の事件では、APIが引き出し(出金)権限まで持っていたという。また、定期的にAPIの状態を確認し、自分で設定していない高権限のAPIがあれば即座に削除すること。
必ず本人認証(2段階認証)を有効にする—Google Authenticator(GA)の利用は非常に簡単であり、無効にする理由はない。これによりセキュリティレベルを最大限に引き上げることができる。今回の被害者の多くはGAを有効にしていなかったようだ。なお、Authenticatorアプリをダウンロードする際、多数の非公式アプリが出回っているため、開発者名をよく確認し、「Google」公式のもののみを使用すること。
Google Authenticatorのクラウド同期はオフにする—右上の雲マークをタップして同期機能を無効にすればよい。
Google Authenticatorのキーは手書きでメモする—財布の秘密鍵やリカバリーフレーズと同じように、GAのキーも書き留めて保存すること。複数のバックアップを作成し、あまりに隠しすぎて自分自身が見つけられなくなるようなことがないように注意すること。
Google Authenticatorと取引用端末の分離—GAはインターネットに接続しない別のスマートフォンに設置すること。この端末は一切ネット接続せず、物理的にはスマートフォンだが、実質的には「スマートフォン型セキュリティトークン」となる。
メールアドレス・電話番号用端末の分離—可能であれば、これらの情報を持つ端末も別々に分散させること。わずらわしいと思うかもしれないが、端末の分離はそれほど大きなコストではない。現時点では、iPhone 10クラスの端末は1,000元以下で入手できる。
大いに世の中に隠れる!—極めて重要なことだが、必要でない限り、周囲の誰にも自分が仮想通貨取引をしていることを知らせてはならない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














