暗号資産のセキュリティ事故が頻発しています。どのようにして使用しているプラットフォームやウォレットアプリが安全であることを確認できますか？

著者：木沐、白話ブロックチェーン

資産の安全性は、暗号業界において常に重要な話題であり続けています。しかし、白話ブロックチェーンの観察によると、安全に関する啓蒙活動が行われているにもかかわらず、実際に安全問題に関心を持っている人は少ないのが現状です。なぜなら、多くの人が一般的に「これは完全に確率の問題で、私のような「三つの瓜と二つの棗」には関係ない」と考えているからです。逆に、もっと確率が低い宝くじに当たるのは自分だと思っていることが多いのです。

実際、暗号資産の主流化に伴い、個人ユーザーの資産に対する安全事件が頻発しています。そして、大口投資家であれ小口投資家であれ、これらの事件は私たちの身近で起こっており、もはや小さな確率の問題ではありません。

それでは、最近最も一般的な個人ユーザーの資産安全事件を出発点に、私たちに密接に関連する安全問題を整理してみましょう。最初に考えるべきは：あなたが使用しているプラットフォームやウォレットアプリが安全であることをどう確保するかです？

01 「公式チャンネル」は必ず安全ですか？

ほとんどの人は、プラットフォームやウォレットアプリの安全性を確保するのは簡単だと思っています。「公式チャンネル」を確認すればいいだけだと。しかし、実際にはそうではありません……

1. 公式サイトよりも公式に見える「公式」
皆さんは「公式サイト」を探すことは知っていますが、一般的な主流ウォレットの例を挙げると、それらの正確な公式サイトのアドレスをすぐに挙げられますか？すぐに「テスト」をしてみましょう：

ほとんどの人はAとBを選ぶかもしれません。日常の習慣に従って、多くの人はブランド名+.comまたは.ioの後綴りが「ブランド力のある」公式サイトだと考えがちですが、実際には多くのチームは初期に小さなスタートアップから始めており、その時に登録した公式サイトのドメイン名は非常に「雑」でした。正解は実はCです。

同じ理由で、これらのウォレットの公式チームが立ち上げた時には商標すら考慮していなかったかもしれません……その後、他の誰かが商標を取得し、他の人がその商標を持って特定の検索エンジンでブランド保護サービスを購入し、検索結果に「ブランド公式」の認証ラベルを付けたり、プロモーションサービスを購入して常に上位に表示されることができるため、非常に混乱を招くことになります。この問題は2年前にも発生しました。現在でも、特定の主流検索エンジンで「xxxウォレット公式サイト」を検索すると、最初の数ページの結果はほとんどが偽物です。

これらの「公式」よりも公式に見える「公式」は、実際に多くの人を「騙」しています。なぜなら、ハッカーにとってもコストが低く、成功率が高い方法の一つだからです。

2. 公式サイトのアドレスを知っていてもどうなる？

多くの人は、正しい公式ドメイン名を入力すれば、ダウンロードしたアプリは必ず安全だと思っています。しかし、それでも問題が発生することがあります。 最近のBitkeepウォレットの安全事故では、BitKeepが発表したところによると、チームの初期調査の結果、一部のAPKパッケージのダウンロードがハッカーにハイジャックされ、ハッカーが埋め込んだコードがインストールされた可能性があるとのことです。

簡単に言えば、一部のユーザーがダウンロードしたAPKパッケージがハッカーに「ハイジャック」され、ハッカーが特別に加工した「ウォレット」をインストールしてしまったということです。これを非公式の「偽ウォレット」として扱いましょう。

発表で言及された主な原因は「ハイジャック」であり、「ハイジャック」の方法やプロセスは多岐にわたるため、現在のところどのプロセスに問題があったのかは不明ですが、ハッカーがどのようにしてユーザーが「公式」ドメインを入力しているにもかかわらず、偽ウォレットをダウンロードさせるかについて話しましょう：第一の方法は、ローカルホストファイルを操作することです。

ローカルPCデバイスが誘導されたり、脆弱性を通じて悪意のあるソフトウェアやウイルスがインストールされた後、ローカルホストファイルを変更することによって、この方法は特定のドメインを非公式サーバーのIP（例えば、ハッカーが用意した「公式」ページ）に直接指し示すことができます。つまり、ブラウザを開いたときに正確なドメイン名を入力しても、実際にはハッカーが提供するウェブサイトにアクセスし、ダウンロードしたのも偽のアプリです。

第二の方法は、ローカルブラウザやアプリで開いているページを操作することです。

特定のプラットフォームのウェブサイトやウォレットのページを開くとき、ブラウザのプラグインを通じて特定のウェブページの表示内容を直接変更することができます。例えば、アプリのダウンロードボタンが指し示すアプリのダウンロードリンクをハッカーが用意したアドレスに置き換えたり、資産の入出金アドレスをハッカーのものに置き換えたり、クリップボード内のウォレットアドレスや秘密鍵を読み取ったり変更したりすることができます。ブラウザのプラグインがウェブページを変更する権限を持っているかどうかは心配しないでください。なぜなら、ほとんどのブラウザプラグインはそのような権限を持っているからです。もし注意深く観察していれば、私たちが普段使っている小狐ウォレットにもそのような権限があることに気づくでしょう…… つい最近も、主要なCEXをダウンロードした際に、普段使っている偽アプリが入出金アドレスを置き換え、資産が失われる事件が発生しました。

第三の方法は、リモートDNSハイジャック、ドメイン解析記録の変更、アプリ製造元のサーバーがハッキングされることです。

これはリモートのインターネットサービスプロバイダーの問題であり、非常に稀にしか発生せず、コストと難易度も非常に高いですが、実際に発生したことがあります。これは「毒を投げる」ような方法で、あなたがアクセスするドメインがハッカーのアドレスに解析されるようにします。 さらに、サービスプロバイダー自身のドメインサービスアカウントが盗まれ、ドメイン解析が変更されることも、公式サイトを入力してもハッカーのウェブサイトに入る原因となることがあります。また、アプリ製造元がハッキングされる場合は言うまでもありません。これらは私たちが制御できない状況です。

02 白話ブロックチェーンの安全提示

ハッカーが公式サイトすらハイジャックできることを知ると、「防ぎようがない」と感嘆せざるを得ません。では、どうすればよいのでしょうか？実際、これらの安全問題は暗号分野だけに存在するわけではありません。デジタル時代に入ると、どのアプリにも安全問題が存在し、銀行や第三者決済アプリにも多くの偽「アプリ」の現象が見られます。したがって、過去の経験を基に、いくつかの安全対策のヒントをまとめましたので、参考にしてください：

1. HTTPSを使用してハイジャックを防ぐ

正しい公式ドメイン名を入力する際には、必ずドメインの先頭にhttps://を追加してください。その効果は大きいです。ウェブサイトを開く際に、ローカルハイジャックやリモートDNSハイジャックのリスクがある場合、通常、ブラウザのアドレスバーの上部に「安全でない」という赤い警告やページの安全性に関するさまざまな警告が表示されます。 具体的な原理はここでは展開しませんが、簡単に言えば、これは非対称暗号の広範な応用の一つであり、ハイジャックを防ぐために、暗号署名の非対称検証を通じて公式に提供されたウェブページにアクセスしていることを確認します。

ここで余談ですが、実際には多くのプロジェクトのウェブサイト、さらにはDeFiサイトもHTTPSを使用していないか、強制的に使用していないことが多いです。これは全く納得できず、チームの真剣さや専門性を感じることが難しいです。

2. APKファイルのハッシュを確認する

特定の理由により、国内のAndroidスマホユーザーはGooglePlayから直接アプリをダウンロードできず、APKインストールパッケージをダウンロードするしかありません。そして、大部分の偽アプリの安全事件はAPKが置き換えられ、偽APKがダウンロードされる問題に起因しています。したがって、APKが公式に提供されたものであることを確認する必要があります。

まず、HTTPSで公式サイトを開いた後、ダウンロードページに入ります。注意深い方は、ダウンロードページに「アプリの安全性を確認する」やSHA256などのリンクが通常あることに気づくかもしれません。おそらく80%の人は安全提示を見ず、90%の人は確認リンクをクリックして内容を確認したことがないでしょう…

安全確認リンクやSHA256リンクをクリックすると、公式が公開したAPKインストールパッケージファイルに対応するハッシュ値が表示されます（ファイルに何らかの変更があった場合、ハッシュ値は完全に変わります）。APKファイルをダウンロードした後、そのハッシュ値が公式に公開されたものと一致することを確認すれば、ファイルが置き換えられていないことが示されます。

APKをダウンロードした後、重要なステップが来ました。Google傘下のvirustotal.comのウイルスチェックサイトを開き、ダウンロードしたばかりのAPKファイルをアップロードします。 これにより、このファイルのハッシュ値を比較するだけでなく、数十のウイルスデータベースを通じてこのファイルが悪意のあるコードを含んでいるかどうかを検査することができます。これは一石二鳥の神器と言えます。

最後に、さらに厳密にするために、ハッシュ値やダウンロードリンクがローカルのウイルスやプラグインによって同時に改ざんされることを心配する場合は、異なる環境のブラウザを使ってハッシュ値が一致するかどうかを再確認することができます。

もし、あなたがダウンロードしようとしているウォレットの公式サイトがHTTPSをサポートしていない場合、まず疑うべきはそれが本当に公式サイトであるかどうかです。また、APKファイルのハッシュ値の確認を提供していない場合も同様に、そのウォレットチームの安全性に対する真剣さを疑うことができます。このような見落としがあるのは非常に不適切で無責任ですので、そのアプリを使用するかどうかを慎重に考慮してください。

3. 現在インストールされているプラットフォームやウォレットアプリが安全かどうかを確認する方法は？
実際、最も良い方法は、公式のダウンロードページからAndroidのGoogle Play、iOSのApp Storeにアクセスしてダウンロードすることです。なぜなら、理論的にはGoogleとAppleのアプリストアの安全性はウォレットの公式の安全性よりもはるかに高いからです。 それらのプラットフォームは、世界トップレベルのセキュリティソフトウェアとハードウェア、そして人材を備えています。ウォレットやプラットフォームはそれらと比べると、全く別の次元です。

したがって、ウォレットやプラットフォームの公式ダウンロードページからGoogle PlayやApp Storeのページを開き、開発者の会社名、ダウンロード数、レビュー数（主流ウォレットはこれらの数が非常に多い）に問題がない場合、私たちはダウンロードしたアプリが安全であると考えることができます。

もし現在使用しているAPKパッケージのアプリが安全かどうか不明な場合は、前の2つの安全提示の方法に従って、公式であることを確認し、ハッシュを検証した後、スマホにダウンロードして上書きインストールすればよいです。 ただし、必ず助記詞をバックアップすることを忘れないでください。 上書きの過程でエラーが発生し、データが失われてウォレットが復元できなくなることを防ぐためです（ただし、一般的に上書きインストールやアプリの更新はデータの損失を引き起こしません）。

4. ウォレットの安全に関するその他の提案

コールドウォレットやハードウェアウォレットを使用しない場合、ホットウォレットを好む方には、最も安全なのはiPhoneデバイスにインストールすることです。 一つには、海外IDが一つあればよく、Androidのようにさまざまな手間がかからないからです。もう一つは、iPhoneがロックされると、暗号化されたデータはキーなしでは解除できないからです。

海外の多くの主流アプリ（例えばMetamask）はAPKの単独ダウンロードをサポートしていません。 これは安全問題が多すぎるためですが、多くのメーカーは新規ユーザーを獲得するためにやむを得ず、Androidユーザーが非常に多いためAPKダウンロードを開放しています。AndroidでAPKの問題を回避するには、Googleサービスフレームワーク（Google Playを含む）、Googleパスワード認証などの必須ソフトウェアが必要で、現段階では特定の理由により非常にインストールが難しくなっています。多くの人が探している第三者の解決策自体が公式でない可能性があり、安全性が低く、厳密さに欠けることもあります。

もちろん、Androidスマホを使用する場合は、現在もGoogleの全家族フレームワークをネイティブにサポートしているメーカーを選ぶことができます。 例えば、サムスンなどです。また、ウォレットを安全チップ隔離の安全フォルダにインストールすることができれば、第二の安全保障となり、Appleのスマホと同様に、紛失後に敏感なデータを解除できない追加の安全効果を得ることができます。

5. プラットフォームアプリに関する提案

ほとんどのプラットフォームCEXは多重認証を採用しているため、偽アプリの影響をあまり受けません（ハッカーにとっては難易度が高いです）。しかし、アプリ内の入出金アドレスが公式サイトで提供されているものと一致しているかどうかを確認することも重要です。また、プラットフォーム内の「ホワイトリスト」機能を必ず有効にし、資産を安全なホワイトリストアドレスにのみ引き出すようにしてください。

さらに、プラットフォームCEXが直面する最大のリスクは、前述のローカルハイジャックによる入出金アドレスの変更の他に、フィッシングです。 なぜなら、ほとんどの人のアプリ、SMS、Google認証器は実際には同じデバイスにインストールされているため、ハッカーが一台のデバイスを制御または監視するだけで、あなたのこれら三つの情報を掌握し、プラットフォームの資産を操作できる可能性が高くなるからです。

したがって、安全のためには、非常に多くの認証を同じデバイスで操作することはお勧めしません。 Google認証器を別の安全なスマホにインストールするか、スマホにアプリをインストールせずにPCまたはPCのウェブ端末でプラットフォームアカウントを操作することができます。これにより、単一のポイントでの「ブレイク」を防ぎ、資産の安全を最大限に保護することができます。

03 まとめ

安全は小さな問題ではありません。白話ブロックチェーンは、安全問題は毎日語る価値があり、常に語るべきだと考えています。日常の操作の中で、もしかしたら1秒多くこれらの細部に注意を払うだけで、資産の安全性を99%向上させる可能性があるのです。何も損はありません。