人気のハードウェアウォレットがハッキングの対象に

コインチェック事件以来、一気にリスク管理意識が高まりました。
今、ハードウェアウォレットを購入する人が一気に増えています。
中でも人気なのが、手軽で取扱い幅が広いLedger社のハードウェアウォレット。

しかし、その人気のハードウェアウォレットが、ハッキングの対象となっているようです。

仮想通貨のコールドウォレットの一種であるハードウェアウォレットを提供するLedger社は3日、自社の商品Ledger Nano Sの受信アドレスがハックされ、入金時に自分の受信アドレス以外のアドレスにすり替えられる可能性があることを公式のレポートで示した。

ハッキングの特徴は「毎回アドレスが変わる点」を悪用

ハードウェアウォレットの受信アドレスは毎回変わるという特徴を持つため、通常ユーザーは自分の送金受信アドレスを確認しないことが多い。その脆弱性をついて、Ledger Nano Sを持つパソコンの受信アドレスを書き換え、送られてくる仮想通貨がハッカーに届くように操作するのが今回のハッキングだ。

ビットコインウォレットの受信アドレスが毎回変わるのは本人のプライバシー保護のために必要な措置です(ちなみに、ここでちゃんと確認しないと、自己仮想通貨はセルフGOXします)。

警告の対象となっているのは、このセキュリティのための措置が逆に悪用されたハッキングとなっています。

ちなみにこのハッキング方法は「中間者攻撃」または「バケツリレー攻撃」と言われています。

中間者攻撃(バケツリレー攻撃)とは

中間者攻撃とは、通信している2人のユーザーの間に第三者が介在し、送信者と受信者の両方になりすまして、ユーザーが気付かないうちに通信を盗聴したり、制御したりすることである。主にパスワードの不正取得やデータの盗聴などを目的として行われる。
中間者攻撃では、ネットワークを行き来するデータを全て解読し、それを再度暗号化して本来の到達地であるホストに送信し直すことで、ユーザーに一切気付かれることなく通信の内容を盗聴し、あるいは書き換えることができる。通信が公開鍵暗号によって行われている場合には、攻撃者は一方のユーザーから発せられた公開鍵を取得して自分のもとに留め、他方のユーザーに自らの公開鍵を(本来の相手からの鍵であると偽って)送信する。
他方のユーザーは攻撃者に気づかず、攻撃者の用意した公開鍵でデータを暗号化して返す。ここで攻撃者がデータを横取りして自らの秘密鍵で復号し、何事もなかったように相手ユーザー自身の公開鍵で暗号化し送付する。自分の鍵で暗号化されたデータを受け取ったユーザーは自らの秘密鍵でデータを復号する。

ハードウェアウォレットの盗難にどう対処したらいいのか

対策1:毎回受信アドレスをチェック

中間者攻撃を防止するには、デジタル証明書によって本人確認を行ったり、デジタル署名によって改変されていないかどうかを確認するといった対策を講じる必要がある。

具体的には、入金があるたびにこの画像で指しているボタンをクリックし、表示されている受信アドレスと、自分のパソコンの画面上にあるアドレスが同じかどうかを見ることでハッキングが行われていないかどうかを確認することができます。

対策2:Amazonやヤフオクでハードウェアウォレットを買わない

購入ルートもとても大事です。
Amazonなどは一見安心そうに見えますが、実際にどういう業者が取り扱っているかは分かりません。
ヤフオクは尚更です。
メルカリではハードウェアウォレットの取扱いを中止させました。

コインチェック事件以来、ハッキング恐怖が高まっている昨今ですが、だからこそなおさら慎重に行動したいところです。

仮想通貨の識者として知られる大石哲之さんは、しょっちゅうこのツィートで「ハードウェアウォレットの購入」について注意を呼び掛けています↓↓↓

これは、大石さんのお知り合いがウォレットで仮想通貨を盗まれた案件。
Amazonで買ったハードウェアウォレットだったのだとか。
リカバリーシードがあらかじめ作成された紙が封入されていました。
スクラッチシートで覆われていたので購入したご本人は信用してしまったのだそうです。

まとめ

まとめ

仮想通貨は目に見えないサイバー空間の資産です。
本当に資金が必要なところに手が届くなどメリットも絶大ですが、その分リスクもまた高いもの。
ハッキングについてもその「避けられないリスク」の一つかと思われます。

だからこそ、便利に流され「すぎず」、リスク管理には十分注意したいところです。
便利な社会だからこそ、めんどうを嫌い、ラクを選びがちですが。。。本当に自分をリスクから守ってくれるのは、実はその「めんどうくささ」だったりします。

リカバリーシードをチェックする、直営店から購入するなど、基本的なところからリスク管理を徹底していきましょう。

当サイトでは、売買に関してお勧めしているものではございません。資料としてご提供できる記事をお届けしております。ご自身でアクションを起こされる場合は、変更されているかもしれない情報を再度確認調査し、ご自身の判断での決断をお願いいたします。いかなる状況になろうとも、当サイトでは何ら責任をお取りすることはございませんことをご承知おきくださいますようお願いいたします。

【注意とお願い】無断転用・複写などされませんようお願いいたします。ご利用の場合は、当サイト名とURLのリンクを明記の上お願いいたします。

仮想通貨ニュース、勉強会等、仮想通貨情報はLINE@からお知らせ

 仮想通貨まとめ公式LINE@登録方法

仮想通貨まとめ公式LINE@登録方法

スマホのLINEアプリを開き
QRコードを読み込むか、
ID検索で友だち追加をお願いします。
 
「@coinnews」← @マークを入れて検索してくださいね!
出典:http://line.me

スマホでご覧の方はこちらを直接クリックしてください

LINEをされていない方は、こちらに                 今さら聞けない仮想通貨「最新情報もお届けします」▼より、どうぞ

関連するまとめ

みずほ仮想通貨の世界にまた一歩!|日本IBMと6月から決済検証へ

大手銀行がまたもう一行動きましたね。みずほフィナンシャルグループと日本アイ・ビー・エム(日本IBM)は、ビッ…

仮想通貨まとめ編集部の志水 / 8392 view

鈴木まゆ子

税理士・ライター。


2017年の1年間、仮想通貨は”投機手段”として知られるようになりました。

しかし、本来は国や組織を通さない決済手段です。

そのため、経済や金融で危機を迎えている国々においては、「安全資産」のひとつとして注目されています。

何のバックグラウンドも持たないまま、人々の信用だけで「貨幣としての価値」を認められるようになった仮想通貨。
今後どうなっていくかをじっくり見守りたいと思っています。

こちらのサイトでは、その仮想通貨をめぐる社会情勢や素朴な疑問を中心にお伝えしていきます。


Twitter: mayu_suzu8


この他、ZUU Online, マネーの達人などで税務・会計を中心に解説しております。


2017年11月20日、TOKYO FM「クロノス・プラス」にて、仮想通貨関連について解説いたしました。