暗号資産を保有するうえで重要なのは、価格変動への備えだけではありません。不正ログイン、フィッシング詐欺、送金ミス、リカバリーフレーズの紛失などによって、資産にアクセスできなくなるリスクにも注意が必要です。
暗号資産は、ブロックチェーンと呼ばれる分散型台帳技術を基盤としています。ブロックチェーンとは、取引記録を複数のコンピュータで共有・管理する仕組みです。このブロックチェーン自体が改竄に強い仕組みであっても、利用者のアカウント管理やウォレット管理が不十分であれば、資産を失う可能性があります。
特に暗号資産では、銀行口座や証券口座とは異なり、秘密鍵やリカバリーフレーズの管理が資産の保全に直結します。送金操作も原則として取り消しが難しいため、事前の確認が欠かせません。
この記事では、暗号資産のセキュリティで注意すべきリスクと、取引所・ウォレット・送金時におこなうべき基本対策を解説します。
暗号資産のセキュリティは資産を失わないための管理対策が大事
暗号資産のセキュリティ対策では、暗号資産そのものの技術的な安全性だけを指すものではありません。取引所の管理体制に加えて、利用者自身がアカウント、ウォレット、秘密鍵、リカバリーフレーズ、送金操作などを適切に管理し、『資産が失われるリスクを減らすための対策』を取れているかどうかも大事です。
その理由は、暗号資産の多くがインターネット上で管理・送金され、利用者の操作によって資産が移動する仕組みだからです。ログイン情報が盗まれれば取引所アカウントに不正アクセスされる可能性がありますし、リカバリーフレーズを第三者に知られればウォレット内の資産を不正に移動される可能性もあります。また、送金先アドレスを誤ると、銀行振込のように組戻しや返金を受けられないケースもあります。
そのため、暗号資産のセキュリティでは「どの銘柄を買うか」だけでなく、「どこで保管するか」や「どのようにログイン情報を守るか」、それから「送金前に何を確認するか」が重要です。株式や投資信託で証券口座の管理が重要であるように、暗号資産でも保管場所とアクセス情報の管理が資産保全の基本になります。
金融庁も、暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針案を公表しています。これは事業者向けの内容ですが、暗号資産のセキュリティが利用者だけでなく、事業者や行政にとっても重要なテーマであることを示しています。
暗号資産で起こりやすいセキュリティリスク
暗号資産で起こりやすいセキュリティリスクには、以下などがあります。
- 不正ログイン
- フィッシング詐欺
- 秘密鍵やリカバリーフレーズの紛失・流出
- 送金ミス
- ウォレットアプリの不具合
これらは、暗号資産の仕組みそのものが破られるというより、利用者の管理や操作を狙って発生するケースです。そのため、これらのリスクについて理解したうえで、暗号資産を扱わなければいけません。
フィッシング詐欺や偽サイトによる情報流出
フィッシング詐欺は、実在する企業や金融機関などを装い、偽サイトへ誘導してログイン情報や個人情報を盗み取る手口です。警察庁のサイトを見てみると、ネット口座を始め「携帯電話会社・宅配業者・金融機関」を語るメールやSMSから、本物そっくりの偽サイトへ誘導する事例が確認されているという報告があります(参考:フィッシング対策|警察庁)
暗号資産のフィッシング詐欺は、取引所からの重要なお知らせ(例:ログイン制限・本人確認の再手続き・出金停止の解除など)を装って届くことがあります。利用者に「今すぐ対応しなければいけない」と思わせ、メールやSMS内のリンクから偽サイトへ誘導する点が特徴です。
実際に、暗号資産ウォレットのMetaMaskを狙い、二要素認証の設定を求めるように見せかけて、利用者を偽サイトへ誘導するフィッシング詐欺も報じられています(参照:メタマスクユーザー狙う新型フィッシング詐欺、スローミストのCSOが警告)。
特に注意したいのは、相場が大きく動いたときや、久しぶりに取引所やウォレットへログインしようとしたときです。資産状況を急いで確認したい心理が働くと、URLや送信元の確認が不十分になりやすくなります。公式サイトと見た目が似ていても、リンク先のURLが少し異なる場合は偽サイトの可能性があるため注意しなくてはいけません。
また、取引所やサポート担当者を名乗る相手から、パスワード、二段階認証コード、リカバリーフレーズ、秘密鍵の入力を求められる場合も気を付けましょう。これらの情報を入力すると、本人が気づかないうちにアカウントへアクセスされたり、ウォレット内の暗号資産を移動されたりする可能性があります。
秘密鍵やリカバリーフレーズの紛失・流出
自己管理ウォレットを使っている場合は、秘密鍵やリカバリーフレーズの管理が重要です。リカバリーフレーズとは、ウォレットを復元するために使う単語の組み合わせです。秘密鍵とは、暗号資産を移動する権限に関わる重要な情報です(関連:リカバリーフレーズと秘密鍵の違いとは?)。
リカバリーフレーズを入力させる偽アプリによって、実際に暗号資産が盗まれた事例もあります。報道によると、暗号資産ウォレット「Ledger」を装った偽アプリがAppleのApp Store上で配布され、約950万ドル相当の暗号資産が盗まれる被害が発生しました。
今回の手口は、正規のLedger Liveアプリを装った偽アプリをユーザーにダウンロードさせ、ウォレットのリカバリーフレーズ(シードフレーズ)を入力させるものだ。ユーザーがこれを入力すると、攻撃者はウォレットの完全なアクセス権を取得し、資産を自由に移動できるようになる。
この事例から分かるのは、公式アプリストアに表示されているアプリであっても、無条件に安全とは限らないという点です。正規のウォレットを利用する場合でも、公式サイトから案内されている配布先と一致しているかを確認することが重要です。
リカバリーフレーズや秘密鍵を失うと、ウォレットにアクセスできなくなる可能性があります。反対に、第三者に知られると、資産を移動させられる恐れがあります。銀行口座の暗証番号よりも重い情報として扱い、オンライン上に保存したり、第三者に入力を求められた画面へ安易に入力したりしないことが基本です。
送金先アドレスやネットワークの入力ミス
暗号資産の送金は、銀行振込のように金融機関が宛先名義を確認してくれる仕組みではありません。送金先アドレス、ネットワーク、タグやメモを誤ると、送金した暗号資産を取り戻せない可能性があります(関連:暗号資産の送金ミスは取り戻せる?確認すべきことと対応方法を解説)。
特に注意したいのは、送金先アドレスだけを確認して安心してしまうケースです。同じ銘柄に見えても、利用するネットワークが異なる場合があります。例えば、取引所やウォレットによっては、同じ暗号資産でも複数のネットワークから入出金方法を選べることがあります。送金元と送金先で対応していないネットワークを選ぶと、送金が反映されない可能性があります。
また、取引所へ送金する場合は、銘柄によってタグやメモが必要になることがあります。タグやメモは、取引所が入金者を識別するための情報です。これを入力し忘れると、送金自体は完了していても、取引所側で誰の入金なのかを自動判別できず、残高に反映されないことがあります。
送金時は、アドレス、ネットワーク、タグやメモ、送金額を一つずつ確認しましょう。特に初めて送る宛先や高額の送金では、少額でテスト送金してから本送金する方法もあります。手数料はかかりますが、送金先やネットワークが正しいかを事前に確認できるため、誤送金のリスクを下げやすくなります。
ウォレットアプリの終了や不具合によるアクセス不能
ウォレットアプリの終了や不具合によって、資産にアクセスできなくなることもあります。この場合、リカバリーフレーズや秘密鍵が残っていれば、別の対応ウォレットで復元できる可能性があります。
ただし、対応するウォレットや復元方法を誤ると、作業が進まないことがあります。アプリにログインできない状態と、暗号資産そのものが失われた状態は必ずしも同じではないため、まずはリカバリーフレーズや秘密鍵が残っているかを確認することが重要です。
取引所を利用するときに確認すべきセキュリティ対策
暗号資産を取引所で保管・売買する場合は、取引所側の管理体制と、利用者自身のアカウント管理の両方を確認する必要があります。取引所が一定のセキュリティ対策をおこなっていても、利用者のパスワード管理が甘ければ、不正ログインのリスクは残ります。
まず確認したいのは、金融庁に登録された暗号資産交換業者かどうかです。日本国内で暗号資産交換業を行う事業者は、金融庁・財務局への登録が必要です。登録業者かどうかは、金融庁の「暗号資産交換業者登録一覧」で確認できます。
また、取引所が顧客資産をどのように管理しているかを確認しておくと安心です。例えば、GMOコインは、預託された資産を自社資産と分別して管理し、暗号資産をインターネットから隔離されたコールドウォレットで保管していると説明しています。コールドウォレットとは、インターネットから切り離して秘密鍵などを管理する保管方法です。
お客さまから預託を受けた暗号資産(仮想通貨)はすべて、インターネットから隔離された「コールドウォレット」にて保管しています。コールドウォレットからホットウォレットに暗号資産(仮想通貨)を移動する際には複数部署の承認が必要な体制となっているため、複数名によって厳重に監視された状態でのみ、コールドウォレットからの暗号資産(仮想通貨)の移動が可能となっています
暗号資産の利用におけるセキュリティを考えるうえでは、取引所側の対策だけで十分とは言えません。利用者側でも、推測されにくいパスワードを設定し、他のサービスと使い回さないことが重要です。それから、二段階認証や多要素認証も必ず設定しておきたい対策です。二段階認証とは、パスワードに加えて、認証アプリやSMSなどによる追加確認を行う仕組みです。
ログイン通知や出金通知も確認する習慣を持つべきです。身に覚えのないログインや出金通知が届いた場合、早い段階で取引所に連絡できれば、被害拡大を防げる可能性があります。
ウォレットを利用するときに注意すべきセキュリティ対策
自己管理ウォレットを利用する場合、最も重要なのはリカバリーフレーズや秘密鍵の管理です。取引所に預けている暗号資産は、取引所のアカウント管理が中心になります。一方、自己管理ウォレットでは、リカバリーフレーズや秘密鍵を持っている人が、実質的に資産へアクセスできる状態になります。
どちらも第三者に知られると資産を移動される恐れがあるため、銀行口座の暗証番号よりも重い情報というくらいの気持ちで扱わないといけません。
リカバリーフレーズや秘密鍵はオンライン上に保存しない
リカバリーフレーズや秘密鍵は、オンライン上に保存しないことが基本です。メール、クラウドストレージ、チャットアプリ、スマートフォンのスクリーンショットなどに保存すると、不正アクセスや端末の紛失によって第三者に知られるリスクがあります。
保管する場合は、紙に書いて保管する、耐火性や耐水性を意識して金属板に記録するなど、オフラインで管理する方法が考えられます。ただし、紙に書いて保管する場合も、紛失・劣化・火災・水害には注意が必要です。金庫や貸金庫など、第三者に見られにくく、災害にも備えやすい場所を検討することが重要です(関連:あなたのシードフレーズ保管法は大丈夫?暗号資産管理実態と隠れたリスク)。
家族に引き継ぐ可能性がある場合は、資産の内容をすべて共有する必要はありません。ただし、万一のときに暗号資産の存在や保管場所を把握できるようにしておかないと、相続時に資産へアクセスできなくなる可能性があります。
ウォレットアプリが使えなくなっても復元できる場合がある
ウォレットアプリが使えなくなった場合でも、リカバリーフレーズや秘密鍵が残っていれば、別のウォレットで復元できる可能性があります。例えば、サービス終了やアプリの不具合によってウォレットを開けなくなっても、同じ規格に対応したウォレットで復元できるケースがあります。
実際に、ウォレットアプリにログインできない状態でも、リカバリーフレーズや秘密鍵が残っていたことで資産に再アクセスできた事例があります。これは、暗号資産が特定のアプリ内だけに存在しているのではなく、ブロックチェーン上のアドレスに記録されているためです。ウォレットアプリは、その資産にアクセスするための入口と考えると分かりやすいです(関連:MyEtherWalletにログインできない場合の復元方法|15ETHの復旧事例を基に解説)。
ただし、全てのケースで復元できるわけではありません。リカバリーフレーズや秘密鍵が誤っている場合、対応していないウォレットを使っている場合、通貨やアドレス形式が合っていない場合は、資産が表示されないことがあります。自己判断で何度も入力を試みる前に、対応ウォレットや復元方法を確認することが大切です。
不正アクセスや詐欺が疑われるときの対応
不正アクセスや詐欺が疑われる場合は、できるだけ早く対応する必要があります。暗号資産の送金後の取り消しが難しいため、被害に気づいた時点で行動を遅らせると、資産の追跡や被害拡大の防止が難しくなる可能性があります。
取引所アカウントの不正ログインが疑われる場合はすぐに連絡する
取引所アカウントに不正ログインされた可能性がある場合は、すぐに取引所へ連絡します。ログインできる状態であれば、パスワードを変更し、二段階認証の設定状況を確認しましょう。身に覚えのない出金申請がある場合は、取引所にアカウント停止や出金停止ができるか確認してください。
不正ログインの疑いがある状態で放置すると、出金や送金が進んでしまう可能性があります。取引所によって対応方法は異なるため、公式サイトの問い合わせ窓口や緊急時の案内を確認し、できるだけ早く連絡することが重要です。
送金履歴ややり取りの証拠を保存する
詐欺の疑いがある場合は、以下の情報などを保存します。後から経緯を確認する際に「いつ・誰に・どのような案内を受け・どのアドレスに送金したのか」を示せる情報が重要になるからです。
- 送金履歴
- メール / SMS / チャット履歴
- 相手のアカウント情報
- 送金先アドレス
画面を閉じたり、相手とのやり取りを削除したりすると、状況を説明しにくくなる場合があります。相手のアカウントが削除される可能性もあるため、不審に感じた時点でスクリーンショットや取引履歴を残しておくことが大切です。
警察や消費生活センターなどへ相談する
詐欺や不正送金が疑われる場合は、警察や消費生活センターなどへの相談も検討します。金融庁も、暗号資産に関するトラブルについて注意喚起をおこなっており、無登録業者との取引や不審な勧誘には注意が必要です。
被害の内容によって、相談先や必要な情報は異なります。暗号資産の送金先アドレス、取引ID、相手とのやり取り、利用した取引所名などを整理しておくと、相談時に状況を説明しやすくなります。
ウォレットにアクセスできない場合は復元情報の有無を確認する
ウォレットにアクセスできない場合は、まずリカバリーフレーズや秘密鍵が残っているかを確認します。アプリが使えなくなった場合でも、必要な情報が残っていれば復元できる可能性があります(関連:アルタウォレット復旧事例:サービス終了で開けない状態から約6.5ETHを復元したプロセス)。
ただし、偽の復元サイトや偽サポートに入力すると、資産を盗まれるおそれがあります。復元作業を行う場合は、公式サイトや信頼できる情報源を確認し、リカバリーフレーズや秘密鍵を第三者に送らないことが重要です。
秘密情報を第三者に教えた場合はウォレットを移す必要がある
すでに第三者へリカバリーフレーズや秘密鍵を教えてしまった場合は、そのウォレットの安全性は失われていると考えるべきです。まだ資産が残っている場合は、別の安全なウォレットへ移す必要があります。
ただし、作業を誤ると被害が広がる可能性もあります。送金先アドレスやネットワークを確認し、状況に応じて専門家への相談も検討してください。
まとめ|暗号資産のセキュリティは日常的な管理で高められる
暗号資産のセキュリティでは、ブロックチェーンの仕組みを詳しく理解することが大事ですが、それと同じくらい、日常的な管理を徹底することが重要です。取引所を利用する場合は、登録業者かどうかや顧客資産の管理体制を確認し、利用者自身もパスワードや二段階認証を適切に管理する必要があります。
自己管理ウォレットを使う場合は、リカバリーフレーズや秘密鍵の保管が資産管理の中心になります。これらを失えば資産にアクセスできなくなる可能性があり、第三者に知られれば資産を移動される恐れがあります。オンライン保存を避け、紙や金属板などで安全に保管することが大切です。
また、フィッシング詐欺や送金ミスにも注意が必要です。公式サイトのURLを確認する、秘密情報を第三者に教えない、送金先アドレスやネットワークを確認する、といった基本的な行動が被害防止につながります。
暗号資産は、自分で管理できる自由度が高い一方で、管理を誤ると資産を失うリスクがあります。安全に保有するためには、取引所任せにせず、利用者自身がセキュリティ対策を理解し、日常的に確認することが重要です。
もしも、暗号資産の保管方法やウォレットの復元、送金時の確認など、セキュリティ面で不安がある場合は、弊社Claboまでご相談ください。状況を確認したうえで、必要な対応を案内いたします。
