完璧な仮想通貨保管方法を求めて　～海外の事例から学ぼう#2 Hardware wallet

katakoto
2018/05/05 06:11

“Today I found out that these days bitcoin converts from a single bit to 12.7K NZD. I had mined 138 bitcoin on a pc 3-4-ish years ago back when it was worth nothing and mining was easy. My uncle smashed the PC I stored my wallet info, my data, my mining program, everything. FML.” 引用元 http://www.fmylife.com

俺訳『今日、最近では1ビットコインが97万くらいになる事を知った。３～4年くらい前、その頃はマイニングも超簡単でビットコインもほぼ無価値だったんだけど、俺PC上に138ビットコイン、自分でマイニングして所有してた。まあ俺の叔父がそのPC（ウォレット情報からデータ、マイニングプログラムまで全部入ってたんだけど）ぶっ壊しちまったんだがな！ちきしょぉおおおおお！おっさん何してくれてんねんんんん！』

皆さんこんにちは！@katakotoです。

前回までは、冒頭の彼のような被害者を2度と生まないためにも、仮想通貨の安全な保管方法を、海外の実際の被害事例を交えながら探し求めてきたわけですが、（まあ冒頭の彼は、保管方法以前に人のPCをスマッシュしちまうクレイジーな叔父の方を何とかするしかない）今日はデスクトップウォレットを使っていて被害にあった人が、より安全性を求めて乗り換えを決意したというハードウェアウォレットのお話です。

３．ハードウェアウォレット (リスク度★★)

常時ネットに接続しているPCにインストールするデスクトップウォレットでは、いつ流出・ハッキングの被害に遭うか安心できない！何か良い方法はないのか？はっ！ならいっそウォレットをUSBメモリ的な感じに、外部接続デバイスにしちゃうってのはどう？という発想で生まれたのがハードウェアウォレット。正確には秘密鍵を外部デバイスに保存し、さらにパスワードをかけて保護する仕様ですが、これなら普段はPCから外して金庫にでも入れておけば、安心感がかなり高まります。有名どころでは先述のLedgerNanoSをはじめ、Trezor、Keepkeyなどがあります。

一見、完璧なセキュリティに思えるハードウェアウォレット。落とし穴はいったいどこにあったのでしょう。海外ユーザーの被害体験を見てみましょう。

一週間くらいLedger使ってなかったんだけど、今日、リップルとライトコイン、Dashを確認しようしたら、それら全部が昨日の同じ時間、午後7時30分くらいに全部どっかに送金されてた！なんでこんな事が起きるの！？俺、一週間もLedgerに触ってなかったのに！合計330万円以上入ってたのに、マジどうしたらいいかわかんねえ！なにこれ盗まれたの？それとも別のなんか？完全に途方に暮れてるわ今。ボエっ！なんか体調もおかしくなってきた。だれか助けて。。。

Ledgerを使って秘密鍵をオフライン保管していて、しかも一週間も触っていなかったというこの人、なんでこんな事になってしまったのでしょう。このスレッドには実に700件以上のコメントが付き、他のユーザーとのやり取りの中で徐々に彼がはまった罠が明らかになっていきます。

“First, did you configure your own device from scratch, copying down the 24 words yourself with a pen and only storing it on paper?”

「まず第一に、最初っから自分でそのLedger設定した？24個の復元フレーズ、ちゃんとペンで紙に書き写した？その紙以外で保存してない？」

“Did you possibly leave it exposed somewhere or ever enter it into a PC?”

「もしかしてその紙どっかに置き忘れてない？もしくはまさかPCの中に入れてない？」

“Yes, I configured the device myself a month ago when I got the ledger and copied the seed myself on paper which no one has had access to. I did not put the seed anywhere on my computer.”

「もちろんだよ。自分でLedger受け取った際の一か月くらい前に設定して、復元フレーズもちゃんと自分で紙にコピーして、誰も触ってないよ。PCのどこにも一切保存してない。」

“it is impossible for anyone to have access to my ledger or the seed words, I live on my own and no one has visited my place since I purchase the device. I think someone at the Ledger company has access to this information.”

「誰かが俺のLedgerや、復元フレーズに触れるなんて絶対にありえない。俺は一人暮らしだし、買ってから誰も訪ねてきてない。俺はLedgerの会社の誰かが不正アクセスしたんだと思ってる。」

絶対に、重要な情報は漏れてないと言い張るこの男性。しばらく来客者が誰もいないというさみしさは外部に漏れださせながら、終いにはLedger社の関係者を疑い始めたその時、何回目かの同じような質問に対して

“The Ledger came with a recovery sheet which had a 24-word recovery seed, to see the seed I had to scratch off the silver foil/paint that was covering it.”

「(何回も言ってっけどさぁ)Lederと一緒に入ってた、24文字の復元フレーズが書いてる“復元シート”をだな、見るためにはスクラッチしなくちゃいけなかったしだな、復元フレーズだってちゃんと銀紙でカバーされてたしだな。」

“WHAT!?

THIS IS NOT HOW IT WORKS!!! YOU ARE SUPPOSED TO WRITE KEYS THE LEDGER DEVICE GENERATES! YOU JUST USED SOMEONE PREDEFINED SEED!!! OH MY GOD!!!”

「ななな何やてぇ！
そんな風に使うんと全然ちゃうで！その紙にはLedgerがこさえた復元フレーズを、自分で書き写さなあかんのやで！あんた、誰かが前もってこさえた復元フレーズ使わはったんや！あっちゃあ！何てこったい！！」

なぜ突然、関西人が現れたのかはわかりませんが、結論としてはこういう事です。

何者かが、事前に24個の復元フレーズを生成、本物っぽく偽装したスクラッチカードに印刷してLedgerと共に購入者に送付→購入者がその復元フレーズを入力して使用を開始→犯人が別デバイスにて復元、330万円相当のコインGET!

復元フレーズさえ控えておけば、万が一デバイスが故障しても中の秘密鍵を復元できるというバックアップ機能を犯人は悪用したわけですね。ちなみに犯人が偽造したスクラッチカードはこちら。

“Trust me I never normally fall for this stuff, but the seed recovery card looked legit and I thought it was a new Ledger wallet thing.”

「信じてくれ！普段は絶対にこんなのに引っかからないんだ。けど復元フレーズカードが本物っぽかったんだよぉ～！完全に新品のLedgerのやつだと思ったんだよぉ～！」

詐欺にかかってしまった人が一番良く言うセリフを口にしていますが、確かにここまでやられては信じてしまうのも仕方がないかもしれません。

では、この偽造カードを混入した人物はいったい誰？

“Did you buy your Ledger directly from Ledger's website? If not, from where?”

「そのLedger、公式サイトから直接買った？もし違うならどっから買ったの？」

“No, I got it from eBay, it was from a trusted seller, new and also sealed.”

「いや、直営じゃない。eBayから買った。ご信頼のおける方でしたよ。新品だったし、ちゃんとシールされてたし。」

eBayの出品者のどこが信頼のできる売り手じゃーい！と。

実際の所、eBayでの販売者自体は犯人ではなく、その後の犯人捜査に協力してくれたらしいのですが、eBayのみならずアマゾンでも、犯人が返品処理過程を悪用してこうした罠を入れ込む可能性がいくらでもあるそうです。

またハードウェアウォレットは、初期設定時だけ注意すれば良いかといえばそういうわけでもなく、取引を行うためには常にPCに接続する必要があります。その作業の際にも最近、こんな危険性があると話題になっていましたね。

【重要】【緊急】Ledger 受信用アドレスを利用した攻撃について

おいおい、どこもかしこも危険だらけじゃないか！一体本当に安全な保管方法はどこにあるんだ！それを教えてくれるんじゃなかったのかよ！はっ！新しいテクノロジーにこだわるから、逆に危険が増えてるんじゃね？？逆に！退化すんのはどう？退化？というわけで次回、究極の保管法！？"Back to the Stone Age!"ペーパーウォレット編。乞うご期待。

今回、彼の失敗から我々が学ぶべき教訓はこちら。