OKX Web3 & OneKey：デバイスのセキュリティに「バフ」を加える

著者：OKX Web3

はじめに

OKX Web3ウォレットは特別に「セキュリティ特集」コーナーを企画し、さまざまなタイプのオンチェーンセキュリティ問題に対する特集回答を行います。ユーザーの身近で最もリアルなケースを通じて、安全分野の専門家や機関と共同で、異なる視点からの二重のシェアと回答を行い、セキュリティ取引ルールを浅くから深く整理し要約することを目的としています。これにより、ユーザーのセキュリティ教育を強化し、ユーザー自身がプライベートキーやウォレット資産の安全を守ることを学ぶ手助けをします。

Web3の世界でサーフィンするには、2つの費用を省くことはできません。

1つはオンチェーンでのガス代；もう1つはオフチェーンでの装備購入です。

しかし、オンチェーンでもオフチェーンでも、安全は同様に重要です～

今号はセキュリティ特集第04号で、特別に暗号ハードウェアウォレットメーカーのOneKeyのセキュリティチームとOKX Web3ウォレットのセキュリティチームを招き、実践ガイドの観点から、デバイスの安全性を向上させる「バフ」を加える方法を教えます。

OneKeyセキュリティチーム：OneKeyは2019年に設立され、安全に特化したオープンソースのハードウェアウォレットとソフトウェアウォレットの会社であり、安全攻防実験室を設置しており、Coinbase、Ribbit Capital、Dragonflyなどの一流機関からの支援を受けています。現在、OneKeyハードウェアウォレットは、アジアで最も売れているハードウェアウォレットブランドの1つとなっています。

OKX Web3ウォレットセキュリティチーム：皆さん、こんにちは。本日のシェアができてとても嬉しいです。OKX Web3ウォレットセキュリティチームは、OKXがWeb3分野でのさまざまなセキュリティ能力の構築を担当しています。たとえば、ウォレットのセキュリティ能力の構築、スマートコントラクトのセキュリティ監査、オンチェーンプロジェクトのセキュリティ監視などを行い、ユーザーに製品の安全性、資金の安全性、取引の安全性などの多重防護サービスを提供し、ブロックチェーンの安全エコシステムを維持するために貢献しています。

Q1：ユーザーの実際のデバイスリスクのケースをいくつか共有できますか？

OneKeyセキュリティチーム：Web3ユーザーが関与するデバイスリスクのケースは多様性があります。いくつかの一般的なケースを挙げてみましょう。

ケース1：ユーザーのアリスが自分のデバイスを離れた後、知らないうちに身近な人に物理的に侵入され、資産を盗まれました。これはコンピュータセキュリティの分野で「悪意のあるメイド攻撃（Evil Maid Attack）」と呼ばれ、ユーザーが遭遇する最も一般的なデバイスリスクの一つです。

「毛を刈るスタジオ」の同僚、部屋を掃除するおばさん、さらには親しい枕元の人まで、財を見て攻撃者になる可能性があります。以前、私たちはユーザーがハードウェアウォレット内の資産が盗まれた状況を追跡するのを手伝ったことがあります。ユーザーが報告した後、取引所に申告して攻撃者が使用した取引所アカウントのKYCを取得し、最終的に身近な人によるものであることが判明しました。「千防万防、家の中の泥棒は防ぎにくい」ということです。

ケース2：ユーザーのボブが物理的に脅迫され、やむを得ず資産管理権限のあるデバイスを渡しました。これは暗号界で「5ドルレンチ攻撃（$5 Wrench Attack）」という笑いと涙の名前が付けられています。

近年、Cryptoの富の効果が広がるにつれて、高額資産を持つ人々を狙った誘拐や恐喝のケースが増えているようです。特に犯罪率が高い国では顕著です。2023年初頭には、オフラインでの仮想通貨取引が強盗に遭ったという報道がありました。被害者はオフラインのデジタル通貨投資者の集まりに参加しており、食事後に車内で拘束され、不法者は被害者の顔認識を強制的に使用してスマートフォンとウォレットソフトを解除し、ウォレット内の暗号通貨を410万USDTに換金した後、すぐに資金を移動させて去りました。最近、Twitterでは、ある暗号マイニングOGが国際犯罪グループに強盗され、生涯の蓄えの大部分の暗号資産を脅迫されたと述べています。

OKX Web3ウォレットセキュリティチーム：本日のテーマは非常に良いです。以前、私たちはプライベートキーの安全性、MEME取引の安全性、毛を刈る安全性など、多くのオンチェーンセキュリティのテーマについて話しましたが、実際にはデバイスの安全性も非常に重要です。いくつかの古典的なケースを共有します。

ケース1：改ざんされたハードウェアウォレット

ユーザーAは、未承認のプラットフォームからハードウェアウォレットを購入し、検証せずに使用を開始しました。実際には、そのウォレットのファームウェアが改ざんされ、すでに複数の助記語が事前に生成されていました。最終的に、ユーザーがそのハードウェアウォレットに保管していた暗号資産はハッカーによって完全に制御され、大きな損失を被りました。

予防策：1）ユーザーはできるだけ公式または信頼できるチャネルからハードウェアウォレットを購入すること。2）ウォレットを使用する前に、公式の完全な検証プロセスを実施してファームウェアの安全性を確認すること。

ケース2：フィッシング攻撃

ユーザーBは「ウォレットセキュリティセンター」からのメールを受け取り、ユーザーのウォレットに安全上の問題があると説明され、ウォレットの復元フレーズを入力するよう求められました。実際には、これは巧妙に設計されたフィッシング攻撃であり、ユーザーは最終的にすべての資産を失いました。

予防策：1）ユーザーは決して未検証のウェブサイトにプライベートキーや復元フレーズを入力しないこと。2）ハードウェアウォレットの画面を使用してすべての取引と操作情報を確認すること。

ケース3：ソフトウェアの安全性

ユーザーCは未検証のチャネルからマルウェアをダウンロードし、ウォレット操作中にソフトウェアに悪意のあるロジックが存在し、資産が失われました。

予防策：1）ユーザーは公式チャネルからソフトウェアをダウンロードし、関連ソフトウェアやファームウェアを定期的に更新すること。2）ウイルス対策ソフトウェアとファイアウォールを使用してデバイスを保護すること。

Q2：ユーザーがよく使用する物理デバイスと施設、リスクタイプ

OneKeyセキュリティチーム：ユーザーの資産安全に関与するデバイスには、通常、ユーザーのスマートフォン、コンピュータ、ハードウェアウォレット、USBストレージデバイス、ネットワーク通信デバイス（Wi-Fiなど）が含まれます。

前述の「悪意のあるメイド攻撃（Evil Maid Attack）」や「5ドルレンチ攻撃（$5 Wrench Attack）」の他に、特に注意が必要な点をいくつか追加します。

1. ソーシャルエンジニアリングとフィッシング攻撃

ソーシャルエンジニアリングとフィッシング攻撃は、現在非常に一般的かつ効果的な攻撃手段であり、攻撃者は人間の弱点を利用してユーザーを危険な操作に誘導します。たとえば、悪意のあるフィッシングリンクや添付ファイル、攻撃者は悪意のあるリンクを含む電子メール、SMS、またはソーシャルメディアメッセージを送信し、銀行通知やソーシャルメディアプラットフォームのリマインダーなどの信頼できるソースを装います。ユーザーがこれらのリンクをクリックしたり、添付ファイルをダウンロードしたりすると、悪意のあるソフトウェアがデバイスに植え付けられ、デバイスがリモートで侵入されることになります。

たとえば、技術サポート担当者を装った攻撃者は、電話や電子メールを通じてユーザーに連絡し、デバイスに問題があると主張し、直ちに行動を取るように促します。彼らはユーザーにデバイスのリモートアクセス権を提供させたり、機密情報を漏洩させたりすることがあります。現在、Twitterでは、暗号通貨関連の用語を言及すると、すぐにロボット軍団がやってきて技術サポートを「サービス」することが多くなっています。

2. サプライチェーン攻撃

サプライチェーン攻撃とは、攻撃者がデバイスの製造または輸送プロセスで悪意のあるソフトウェアを植え付けることを指します。具体的には、以下の3点が挙げられます。

第1はハードウェアの改ざんです。攻撃者はハードウェアウォレットやUSBストレージデバイスの製造過程で悪意のあるソフトウェアを植え付ける可能性があります。たとえば、ユーザーが信頼できないソースからハードウェアデバイスを購入した場合、改ざんされたデバイスを受け取る可能性があり、これらのデバイスには情報を盗むことができる悪意のあるソフトウェアが事前にインストールされていることがあります。

第2はソフトウェアの改ざんです。攻撃者はデバイスのソフトウェアサプライチェーンに対して攻撃を行い、ソフトウェアやファームウェアの更新パッケージを改ざんします。ユーザーがこれらの更新をダウンロードしてインストールすると、デバイスにバックドアプログラムや他のタイプの悪意のあるコードが植え付けられる可能性があります。

第3は物流攻撃です。デバイスの輸送中に、攻撃者がデバイスを傍受して改ざんする可能性があります。たとえば、配送中にハードウェアデバイスが置き換えられたり改ざんされたりすることで、攻撃者がその後の攻撃を実行しやすくなります。

3. 中間者攻撃

中間者攻撃（Man-in-the-Middle Attack, MITM）とは、攻撃者が二者間の通信を傍受し、データ転送を改ざんすることを指します。

たとえば、ユーザーが暗号化されていないネットワーク通信を使用している場合、攻撃者は転送中のデータを簡単に傍受し、改ざんすることができます。つまり、暗号化されていないHTTPウェブサイトを使用している場合、攻撃者はユーザーが送信および受信するデータを傍受し、変更することができます。

また、公共のWi-Fiを使用する際、ユーザーのデータ転送は攻撃者に傍受されやすくなります。攻撃者は悪意のある公共Wi-Fiホットスポットを設定し、ユーザーが接続すると、攻撃者はユーザーのログイン資格情報や銀行取引記録などの機密情報を監視し、盗むことができます。自宅のWi-Fiも極端な状況では侵入され、悪意のあるソフトウェアがインストールされる可能性があります。

4. 第三者内部攻撃とソフトウェアの脆弱性

第三者内部攻撃とソフトウェアの脆弱性は、ユーザーにとって制御が難しいリスクですが、物理デバイスの安全性に重大な影響を与える要因です。

最も一般的なのはソフトウェアとハードウェアのセキュリティ脆弱性です。これらの脆弱性は攻撃者によって利用され、リモート攻撃や物理的なバイパス攻撃が行われる可能性があります。たとえば、特定のプラグインやアプリケーションには未発見の脆弱性が存在し、攻撃者はこれらの脆弱性を利用してデバイスの制御権を取得することができます。通常、セキュリティ更新を維持することで解決できます。また、ハードウェアは最新の暗号チップを使用することを考慮する必要があります。

ソフトウェア側の内部者の活動：ソフトウェア開発者やサービス提供者の内部者がアクセス権を乱用し、悪意のある活動を行ったり、ユーザーデータを盗んだり、ソフトウェアに悪意のあるコードを植え付けたりする可能性があります。また、外部要因によって悪意のある活動が引き起こされることもあります。

たとえば、以前「毛を刈るスタジオ」が特定のマルチログイン指紋ブラウザを使用したために資産が盗まれたケースは、ソフトウェアやプラグインの内部的な悪行によるものである可能性があります。これは、合法的なソフトウェアであっても、内部管理が不十分であれば、ユーザーの資産安全に脅威を与える可能性があることを示しています。

また、Ledgerは以前に恐慌を引き起こす攻撃を受けました。多くのdappが使用しているConnect Kitに問題が発生しました。攻撃の原因は、元従業員がフィッシング攻撃の犠牲者となり、攻撃者がConnect KitのGitHubリポジトリに悪意のあるコードを挿入したことです。幸い、Ledgerのセキュリティチームは問題を通知された40分後に修正措置を展開し、Tetherも攻撃者のUSDT資金を迅速に凍結しました。

OKX Web3ウォレットセキュリティチーム：ユーザーがよく使用する物理デバイスをまとめ、潜在的なリスクを展開します。

現在、ユーザーがよく使用する物理デバイスには以下が含まれます：1）コンピュータ（デスクトップとノートパソコン）、分散型アプリ（dApps）へのアクセス、暗号通貨ウォレットの管理、ブロックチェーンネットワークへの参加などに使用されます。2）スマートフォンとタブレット、dAppsへのモバイルアクセス、暗号ウォレットの管理、取引に使用されます。3）ハードウェアウォレット、専用デバイス（Ledger、Trezorなど）、暗号通貨のプライベートキーを安全に保管し、ハッカーの攻撃から防ぐために使用されます。4）ネットワークインフラ、ルーター、スイッチ、ファイアウォールなどのデバイス、ネットワーク接続の安定性と安全性を確保します。5）ノードデバイス、ブロックチェーンノードのソフトウェアデバイス（個人用コンピュータまたは専用サーバー）、ネットワークの合意形成とデータ検証に参加します。6）コールドストレージデバイス、プライベートキーをオフラインで保管するためのデバイス（USBドライブ、ペーパーウォレットなど）、オンライン攻撃から防ぐために使用されます。

現在の物理デバイスにおける潜在的なリスクは主に以下のようになります。

1）物理デバイスリスク

• デバイスの紛失または損傷：ハードウェアウォレットやコンピュータなどのデバイスが紛失または損傷した場合、プライベートキーが失われ、暗号資産にアクセスできなくなる可能性があります。
• 物理的侵入：不法者が物理的手段でデバイスに侵入し、直接プライベートキーや機密情報を取得します。

2）ネットワークセキュリティリスク

• 悪意のあるソフトウェアやウイルス：悪意のあるソフトウェアがユーザーのデバイスを攻撃し、プライベートキーや機密情報を盗みます。
• フィッシング攻撃：合法的なサービスを装ってユーザーにプライベートキーやログイン資格情報を提供させます。
• 中間者攻撃（MITM）：攻撃者がユーザーとブロックチェーンネットワーク間の通信を傍受し、改ざんします。

3）ユーザー行動リスク

• ソーシャルエンジニアリング攻撃：攻撃者がソーシャルエンジニアリング手法を用いてユーザーにプライベートキーや他の機密情報を漏洩させます。
• 操作ミス：ユーザーが取引や資産管理中に操作ミスを犯し、資産を失う可能性があります。

4）技術リスク

• ソフトウェアの脆弱性：dApps、暗号ウォレット、またはブロックチェーンプロトコルの脆弱性がハッカーによって利用される可能性があります。
• スマートコントラクトの脆弱性：スマートコントラクトコード内の脆弱性が原因で資金が盗まれる可能性があります。

5）規制および法的リスク

• 法的遵守：国や地域によって暗号通貨やブロックチェーン技術に対する規制政策が異なり、ユーザーの資産安全や取引の自由に影響を与える可能性があります。
• 規制の変化：政策の突然の変化が資産の凍結や取引の制限を引き起こす可能性があります。

Q3：ハードウェアウォレットはプライベートキーの安全性の必須選択肢ですか？プライベートキーの安全対策にはどのような種類がありますか？

OneKeyセキュリティチーム：もちろん、ハードウェアウォレットはプライベートキーの安全性の唯一の選択肢ではありませんが、確かにプライベートキーの安全性を強化する非常に効果的な方法です。その最大の利点は、プライベートキーを生成、記録、日常的に保管する際にインターネットから隔離でき、取引を実行する際にはユーザーが物理デバイス上で直接取引の詳細を確認し、承認する必要があることです。この特性は、プライベートキーが悪意のあるソフトウェアやハッカーの攻撃によって盗まれるリスクを効果的に遮断します。

まず、ハードウェアウォレットの利点について説明します。

1）物理的隔離：ハードウェアウォレットはプライベートキーを専用デバイスに保存し、ネットワークに接続されたコンピュータやモバイルデバイスから完全に隔離します。つまり、ユーザーのコンピュータやスマートフォンが悪意のあるソフトウェアに感染しても、プライベートキーは安全です。なぜなら、それらはインターネットに接触したことがないからです。

2）取引の確認：ハードウェアウォレットを使用して取引を行う際、ユーザーはデバイス上で直接取引の詳細を確認し、承認する必要があります。このプロセスにより、攻撃者がユーザーのオンラインアカウント情報を取得しても、無断で資産を移転することはできません。

3）安全チップ：多くのハードウェアウォレットは、プライベートキーを保存するために専用の安全チップを使用しています。これらのチップは、CC EAL6+などの厳格なセキュリティ認証を受けており（たとえば、OneKey ProやLedger Staxなどの新しいハードウェアウォレットが採用している基準）、物理的なバイパス攻撃から効果的に防御します。安全チップは、無断アクセスを防ぐだけでなく、電磁分析や電力分析攻撃などの高度な攻撃手法にも耐えることができます。

ハードウェアウォレットの他にも、プライベートキーの安全性を強化するためのさまざまな方法があります。ユーザーは自分のニーズに応じて適切な方法を選択できます。

1）ペーパーウォレット：ペーパーウォレットは、プライベートキーとパブリックキーを紙に印刷するオフラインストレージ方法です。この方法はシンプルで完全にオフラインですが、火災、湿気、紛失などの物理的安全問題に注意する必要があります。条件が整えば、金属刻板を購入して物理的に記録することをお勧めします（市場には多くの選択肢があります。たとえば、OneKeyのKeyTagなど）。

2）スマートフォンコールドウォレット：コールドウォレットは、完全にオフラインでプライベートキーや暗号資産を保存することを指します。ハードウェアウォレットと同様に、コールドウォレットもネットワーク攻撃を効果的に回避できますが、ユーザーはこれらのデバイスを自分で設定し、管理する必要があります。

3）シェアードエンクリプションストレージ：シェアードエンクリプションストレージは、プライベートキーを複数の部分に分割し、それぞれを異なる場所に保存する方法です。攻撃者が一部のプライベートキーを取得しても、完全な復元はできません。この方法は攻撃の難易度を上げることで安全性を高めますが、ユーザーは各プライベートキーの部分を管理し、部分的な分割が失われることを避ける必要があります。

4）マルチシグ（Multisig）：マルチシグ技術は、複数のプライベートキーが共同で取引に署名することを要求します。この方法は署名者の数を増やすことで安全性を高め、単一のプライベートキーが盗まれることによって資産が移転されるのを防ぎます。たとえば、三者署名のマルチシグアカウントを設定し、少なくとも2つのプライベートキーが同意した場合にのみ取引が実行されるようにすることができます。これにより、安全性が向上するだけでなく、より柔軟な管理と制御が実現できます。

5）暗号学的革新技術：現在、技術の進歩に伴い、一部の新興の暗号学技術がプライベートキー保護に応用されています。たとえば、閾値署名（Threshold Signature Scheme, TSS）やマルチパーティ計算（Multi-Party Computation, MPC）などの技術は、分散型計算と協力的な方法を通じて、プライベートキー管理の安全性と信頼性をさらに向上させます。これらは一般的に企業が多く使用し、個人使用は非常に少ないです。

OKX Web3ウォレットセキュリティチーム：ハードウェアウォレットは、プライベートキーを独立したオフラインデバイスに保存することで、ネットワーク攻撃、悪意のあるソフトウェア、または他のオンライン脅威からプライベートキーが盗まれるのを防ぎます。ソフトウェアウォレットや他のストレージ形式と比較して、ハードウェアウォレットはより高い安全保障を提供し、大量の暗号資産を保護する必要があるユーザーに特に適しています。プライベートキーの安全対策は、以下の観点から考えることができます。

1）安全なストレージデバイスの使用：信頼できるハードウェアウォレットや他のコールドストレージデバイスを選択し、プライベートキーがネットワーク攻撃によって盗まれるリスクを低減します。

2）安全意識教育の確立：プライベートキーの安全性を重視し、保護意識を高め、プライベートキーを入力する必要があるウェブページやプログラムに対して警戒を怠らず、必要に応じてプライベートキーの一部をコピーし、数文字を手動で入力してクリップボード攻撃を防ぎます。

3）助記語とプライベートキーの安全な保管：助記語を撮影したり、スクリーンショットを取ったり、オンラインで記録したりすることを避け、できるだけ紙に書いて安全な場所に保管します。

4）プライベートキーの分離保管：プライベートキーを複数の部分に分け、それぞれを異なる場所に保管し、単一障害点のリスクを減らします。

Q4：現在の認証とアクセス制御における脆弱性

OneKeyセキュリティチーム：ブロックチェーンはWeb2のように私たちの身分情報を識別して保存する必要はなく、暗号学を通じて資産の自己管理とアクセスを実現しています。つまり、プライベートキーがすべてです。ユーザーが暗号資産にアクセスする際の最大のリスクは、一般的にプライベートキーの不適切な保管から来ます。結局のところ、ユーザーのプライベートキーは暗号通貨資産にアクセスする唯一の証明書です。プライベートキーが失われたり、盗まれたり、露出したり、自然災害に遭遇したりすると、資産が永久に失われる可能性があります。

これがOneKeyなどのブランドが存在する意義であり、ユーザーに安全なプライベートキーの自己管理ソリューションを提供します。多くのユーザーは、プライベートキーを管理する際に安全意識が欠如しており、安全でない保管方法（たとえば、プライベートキーをオンライン文書やスクリーンショットに保管する）を使用しています。最良の方法は、オフラインで生成し、保管する方法を採用することです。手動でサイコロを振ったり、手書きしたりすることに加えて、前述のハードウェアウォレットと助記語金属板の組み合わせを検討することもできます。

もちろん、多くのユーザーが取引所アカウントを使用して直接資産を保管している場合、この時点での認証とアクセス制御はWeb2に似たものになります。

これはユーザーのパスワードセキュリティ意識に関わります。弱いパスワードや使い回しのパスワードの使用は一般的な問題です。ユーザーは簡単で推測しやすいパスワードを使用したり、複数のプラットフォーム（たとえば、認証用のメール）で同じパスワードを使い回したりする傾向があり、暴力的な解読やデータ漏洩後の攻撃リスクを高めています。

この中で多要素認証（SMSコード、Google Authenticatorなど）は安全性を高めることができますが、適切に実施されなかったり、脆弱性があったり（たとえば、SMSハイジャック）すると、攻撃のターゲットになることもあります。たとえば、SMSハイジャックのSIMスワップ攻撃では、攻撃者が移動通信事業者の従業員を欺いたり、賄賂を渡したりして、被害者の電話番号を攻撃者が制御するSIMカードに移転させ、被害者の携帯電話に送信されるすべてのSMSコードを受信します。以前、Vitalikも「SIM SWAP」攻撃に遭い、攻撃者が彼のTwitterを利用してフィッシング情報を発信し、多くの人の資産が損なわれました。さらに、多要素認証器（Google Authenticatorなど）のバックアップコードが不適切に保存されると、攻撃者がそれを取得し、アカウントを攻撃するために使用する可能性もあります。

OKX Web3ウォレットセキュリティチーム：これは非常に注目すべきセクションです。現在注意が必要なのは以下の点です。

1）弱いパスワードとパスワードの使い回し：ユーザーはしばしば簡単で推測しやすいパスワードを使用したり、複数のサービスで同じパスワードを使い回したりするため、パスワードが暴力的に解読されたり、他の漏洩チャネルを通じて取得されたりするリスクが高まります。

2）多要素認証（MFA）の不足：Web2における多要素認証は安全性を大幅に向上させることができますが、Web3ウォレットではプライベートキーが漏洩すると、攻撃者がアカウントのすべての操作権限を掌握することになり、効果的なMFAメカニズムを構築することが難しくなります。

3）フィッシング攻撃とソーシャルエンジニアリング：攻撃者はフィッシングメールや偽のウェブサイトなどの手段を通じて、ユーザーに機密情報を漏洩させるよう誘導します。現在、Web3を対象としたフィッシングサイトは、グループ化やサービス化の特徴を呈しており、十分な安全意識がないと簡単に騙される可能性があります。

4）APIキー管理の不適切：開発者はAPIキーをクライアントアプリケーションにハードコーディングしたり、適切な権限管理や期限管理を行わなかったりすることがあり、キーが漏洩した場合に悪用される可能性があります。

Q5：ユーザーはAIによるフェイススワップなどの新興の仮想技術によってもたらされるリスクをどのように防ぐべきですか？

OneKeyセキュリティチーム：2015年のBlackHat会議で、世界中のハッカーは顔認識技術が最も信頼性の低い身分認証方法であると一致して認識しました。約10年後、AI技術の進歩により、私たちはほぼ完璧に顔を置き換える「魔法」を手に入れました。普通の視覚的な顔認識では安全な保証を提供できなくなっています。これに対して、認識側はアルゴリズム技術をアップグレードし、深層偽造コンテンツを識別し阻止する必要があります。

AIによるフェイススワップのリスクに対して、ユーザー側は自分のプライバシーや生体特徴データを保護すること以外に、実際にはあまりできることはありません。以下にいくつかの小さな提案があります。

1）顔認識アプリの使用に注意する

ユーザーは顔認識アプリを選択する際、良好な安全記録とプライバシーポリシーを持つアプリケーションを選ぶべきです。未知のソースや安全性が疑わしいアプリの使用を避け、定期的にソフトウェアを更新して最新のセキュリティパッチを適用します。以前、国内の多くの小口融資会社のアプリがユーザーの顔データを不正に使用して転売し、ユーザーの顔データが漏洩しました。

2）多要素認証（MFA）を理解する

単一の生体特徴認証には大きなリスクがあるため、複数の認証方法を組み合わせることで安全性を大幅に向上させることができます。多要素認証（MFA）は、指紋、虹彩スキャン、声紋認識、さらにはDNAデータなど、さまざまな認証方法を組み合わせています。認識側にとって、この組み合わせ認証方式は、1つの認証方法が攻撃された場合に追加の安全層を提供します。ユーザーにとっても、自分のプライバシーデータを保護することが同様に重要です。

3）疑いを持ち、詐欺に注意する

明らかに、顔や声がAIによって模倣される場合、ネット越しに他人を装うことが非常に簡単になります。ユーザーは、特に機密情報や資金移転に関するリクエストに対して警戒し、二重確認を行い、電話や対面で相手の身元を確認するべきです。警戒を怠らず、緊急の要求を信じず、偽の幹部、知人、カスタマーサービスなどの一般的な詐欺手法を識別します。現在、偽の有名人も多く、プロジェクトに参加する際には「偽のプラットフォーム」に注意が必要です。

OKX Web3ウォレットセキュリティチーム：一般的に、新興の仮想技術は新しいリスクをもたらし、新しいリスクは実際には新しい防御手法の研究を引き起こします。そして、新しい防御手法の研究は新しいリスク管理製品をもたらします。

1. AI偽造リスク

AIフェイススワップの範囲では、多くのAIフェイススワップ検出製品が登場しています。現在、業界では、deepfakeを使用して生成されたデジタルコンテンツの独自の要素（指紋）を検出するための自動検出方法がいくつか提案されています。ユーザーは、顔の特徴、エッジ処理、音声と映像の同期のずれなどを注意深く観察することでAIフェイススワップを識別できます。さらに、Microsoftはユーザーがdeepfakeを識別する能力を教育するための一連のツールを提供しており、ユーザーは学習し、個人の識別能力を強化できます。

2. データとプライバシーリスク

大規模モデルのさまざまな分野への応用は、ユーザーのデータとプライバシーリスクをもたらしました。日常的にチャットボットを使用する際、ユーザーは個人のプライバシー情報の保護に注意し、プライベートキー、キー、パスワードなどの重要情報を直接入力することを避け、代替手段や混乱を通じて自分の重要情報を隠すように努めるべきです。開発者にとって、GitHubは一連の友好的な検出を提供しており、提出されたコードにOpenAIのapikeyや他のリスクのあるプライバシー漏洩が含まれている場合、対応するPushがエラーを返します。

3. コンテンツ生成の悪用リスク

ユーザーの日常業務において、大規模モデルによって生成されたコンテンツの結果に遭遇することが多くあります。これらのコンテンツは有効ですが、コンテンツ生成の悪用は虚偽情報や知識の著作権問題を引き起こします。現在、テキストコンテンツが大規模モデルによって生成されたかどうかを検出するための製品も登場しており、関連するリスクを低減できます。さらに、開発者は大規模モデルのコード生成を使用する際、生成されたコードの機能の正確性と安全性に注意を払い、敏感またはオープンソースのコードについては十分な審査と監査を行う必要があります。

4. 日常的な注意と学習

ユーザーは日常的に短い動画、長い動画、さまざまな記事を閲覧する際、意識的に判断し、識別する必要があります。AIによる偽造や生成されたコンテンツの可能性を覚えておくことが重要です。たとえば、一般的なナレーションの男性音、女性音、発音の誤り、一般的なフェイススワップ動画などです。重要なシーンに遭遇した際には、意識的にこれらのリスクを判断し、識別することが求められます。

Q6：専門的な観点から、物理デバイスの安全に関するアドバイスを共有してください。

OneKeyセキュリティチーム：前述のさまざまなリスクに基づいて、防護策を簡単にまとめます。

1. ネットワーク接続デバイスの侵入リスクに注意する

私たちの日常生活では、ネットワーク接続デバイスが至る所に存在していますが、これも潜在的な侵入リスクをもたらします。私たちの高リスクデータ（プライベートキー、パスワード、MFAバックアップコードなど）を保護するために、強力な暗号化手法を使用し、ネットワークから隔離されたストレージ方法を選択し、これらの機密情報を明文でデバイスに直接保存しないように努めるべきです。また、フィッシングやトロイの木馬攻撃に対する警戒心を常に持つ必要があります。暗号資産操作用の専用デバイスと他の一般的な用途のデバイスを分けて使用することを検討し、攻撃のリスクを低減します。たとえば、日常使用のノートパソコンと暗号資産管理用のハードウェアウォレットを分けて使用することで、1台のデバイスが攻撃されても、もう1台のデバイスは安全を保つことができます。

2. 物理的な監視と保護を維持する

私たちの高リスクデバイス（ハードウェアウォレットなど）の安全をさらに確保するために、厳格な物理監視と保護策を講じる必要があります。家庭内のこれらのデバイスは、高標準の防盗金庫に保管し、ビデオ監視や自動警報機能を含む包括的なスマートセキュリティシステムを備えるべきです。外出する必要がある場合、安全な保管施設を備えたホテルを選ぶことが特に重要です。多くの高級ホテルは、専用の安全保管サービスを提供しており、私たちのデバイスに追加の保護層を提供します。また、携帯用金庫を持ち歩くことを検討し、どんな状況でも重要なデバイスを保護できるようにします。

3. リスクエクスポージャーを低減し、単一障害点を防ぐ

デバイスと資産を分散して保管することは、リスクを低減するための重要な戦略の1つです。すべての高権限デバイスと暗号資産を1つの場所や1つのウォレットに保管すべきではなく、異なる地理的場所の安全な場所に分散して保管することを検討します。たとえば、家庭、オフィス、信頼できる親友のところにそれぞれデバイスや資産を保管することができます。さらに、複数のホットウォレットとハードウェアコールドウォレットを使用することも効果的な方法です。各ウォレットには一部の資産を保管し、単一障害点のリスクを低減します。安全性を高めるために、マルチシグウォレットを使用することもできます。これには、取引を行うために複数の承認署名が必要であり、資産の安全性を大幅に向上させます。

4. 最悪の事態を想定した緊急対策

潜在的な安全脅威に直面した場合、最悪の事態を想定した緊急対策を策定することが重要です。高額資産を持つ人々にとって、控えめに行動することはターゲットにならないための効果的な戦略です。私たちは公の場で自分の暗号資産を誇示することを避け、財産情報を控えめに保つべきです。また、デバイスが紛失または盗まれた場合の緊急計画を策定することも必要です。私たちは、可能性のある強盗に対処するためにおとりの暗号ウォレットを設定し、重要なデバイスのデータをリモートでロックまたは消去できるようにします（バックアップがある場合）。高リスク地域で公に出かける際には、プライベートセキュリティチームを雇うことで追加の安全保障を提供し、特別なVIPセキュリティ通路や高セキュリティのホテルを利用して、私たちの安全とプライバシーを確保します。

OKX Web3ウォレットセキュリティチーム：私たちは2つのレベルで紹介します。1つはOKX Web3アプリのレベル、もう1つはユーザーのレベルです。

1）OKX Web3アプリのレベル

OKX Web3ウォレットは、アプリを強化するためにさまざまな手段を採用しています。これには、アルゴリズムの難読化、ロジックの難読化、コードの完全性検査、システムライブラリの完全性検査、アプリの改ざん防止、環境の安全検査などが含まれ、ユーザーがアプリを使用する際にハッカー攻撃を受ける確率を最大限に低減し、また、悪質な産業が私たちのアプリを再パッケージするのを防ぎ、偽のアプリをダウンロードする確率を低減します。

さらに、Web3ウォレットのデータセキュリティの面では、最先端のハードウェアセキュリティ技術を使用し、チップレベルの暗号化手段を利用してウォレット内の機密データを暗号化しています。この暗号化データはデバイスチップにバインドされており、暗号化データが盗まれた場合、誰も解読できません。

2）ユーザーのレベル

ユーザーが関与する物理デバイスには、ハードウェアウォレット、一般的なコンピュータ、スマートフォンなどが含まれます。ユーザーは以下の点から安全意識を強化することをお勧めします。

1）ハードウェアウォレット：知名度の高いブランドのハードウェアウォレットを使用し、公式チャネルから購入し、隔離された環境でプライベートキーを生成し、保管します。プライベートキーを保管する媒体は、防火、防水、防盗であるべきです。防火防水の金庫を使用することをお勧めし、プライベートキーや助記語を異なる安全な場所に分散して保管し、安全性を高めます。

2）電子デバイス：ソフトウェアウォレットをインストールするスマートフォンやコンピュータは、安全性とプライバシー性の高いブランド（たとえば、Apple）を選択し、他の不要なアプリケーションのインストールを減らし、クリーンなシステム環境を維持します。AppleのID管理システムを使用して複数のデバイスをバックアップし、単一障害を避けます。

3）日常使用：公共の場でウォレットデバイスの敏感な操作を避け、カメラによる記録漏洩を防ぎます；定期的に信頼できるウイルス対策ソフトウェアを使用してデバイス環境をスキャンします；定期的に物理デバイスの保管場所の信頼性を確認します。

最後に、OKX Web3ウォレットの「セキュリティ特集」第04号をお読みいただき、ありがとうございました。現在、私たちは第05号の内容を鋭意準備中で、実際のケース、リスク識別、安全な操作の実用的な情報が満載です。ご期待ください！

免責事項：

この記事は参考のためのものであり、投資アドバイスや投資推奨を提供する意図はありません。また、デジタル資産の購入、販売、保有に関するオファーや勧誘、財務、会計、法律、税務アドバイスを提供するものでもありません。保有するデジタル資産（安定コインやNFTを含む）は高リスクを伴い、大幅に変動する可能性があり、場合によっては無価値になることもあります。取引やデジタル資産の保有が自分に適しているかどうかを、自己の財務状況に基づいて慎重に検討してください。適用される法律や規制を理解し、遵守する責任は自己にあります。