最低限知っておきたい!仮想通貨セキュリティ基本を解説
NFTゲームやNFTを楽しむに当たって必要なのが仮想通貨。GOMOQUでも仮想通貨を始める際の手順をいくつか紹介していますが、今回は「仮想通貨を守るために必要な知識」をテーマに、SamuraiGuildGamesモデレーターのヨウさんにお話を伺いました。リアルな体験談や自身で実践されている対策を参考に、仮想通貨セキュリティについて考えてみましょう。
なぜ今仮想通貨に、セキュリティ対策が必要なのか
セキュリティの知識は、ブロックチェーンゲームやNFTに触れるためには絶対必要だと思っています。
今、仮想通貨は伸び悩んでいる、「冬の時代」だとも言われていますよね。以前に比べるとまっとうには儲けにくい状況になってきたので、詐欺をして楽に儲けたいと考えるケースが増えています。また、海外から日本人が詐欺のターゲットとして狙われている傾向もあります。
こちらのグラフは今年の四半期でハッキングによって失われた仮想通貨の額(オレンジ)と、取り返した額(グリーン)になります。
Funds Lost & Recoverd Q1 2023 Source: De.Fi
ブロックチェーンセキュリティ企業De.Fiの四半期報告書によると、2023 年第 1 四半期の仮想通貨によるハッキング被害額は約 4 億 5,200 万ドル。損失は驚異的ですが、損失額が 13 億ドルだった 2022 年第 1 四半期と比較しても減少しているとのこと。さらに合計 1 億 3,000 万ドルが回収され、回収率は 28.7% という報告がありました。詐欺に対してセキュリティ対策が厳重になっている結果ですが、とはいえ被害は絶えることはありません。
だから今、基本的なセキュリティ対策をしっかり確認しておく必要があると思います。詐欺師もさまざまに手段を変えてくるので、すべての詐欺を絶対に防げるわけではありませんが、最低限知るべきポイントを押さえることで、被害にあうリスクはかなり減るはずです。
実は私も詐欺にあったり、ハッキングによってアカウントが乗っ取られたりするなど、実際に被害を受けた経験があります。今回はそのような実例も交えて、気を付けるべきポイントや、被害を抑える方法などについても紹介していきたいと思います。
資産を守るためにやるべき7つのこと
①シークレットリカバリーフレーズ・秘密鍵は教えない
まず始めのポイントとして、ウォレットのシークレットリカバリーフレーズや秘密鍵は絶対に他人に教えてはいけません。これを教えてしまうと、なんでもやられてしまう状態になってしまう。銀行口座で例えるなら、通帳、暗証番号、印鑑、免許証までも渡しているような状態です。
シークレットリカバリーフレーズは、基本的にはパソコンの買い替え時などに自分でウォレットを復元するとき以外は使うことはありません。なので、求められても教える必要ないよと思ってもらえれば結構です。
上記の画像は、NFTゲーム「Illuvium(イリビウム)」のサイトに見えるんですけど、実は偽サイトなんです。一見すると公式サイトとまったく同じ。そして接続しようとすると、シークレットリカバリーフレーズの入力を促されるんです。私も実際にこのサイトに騙されてしまった人から相談を受けて知ったのですが、本当に怖いですよね。
シークレットリカバリーフレーズに関しては、一番初めの段階でメモを取っておけば、基本的にはそれ以上触る必要はありません。少しでもおかしいと感じたら、一度立ち止まって詐欺ではないか確認しましょう。
②DMは詐欺と疑うのが大前提
Discordなどで送られてくるDMは詐欺を目的としたケースが非常に多いです。対策としてDMを受け取らない設定にしておきましょう。
詐欺DMの内容は例えば、Free Mintとか、今だけだとか、期間限定の特別なセールだとか謳うものが多いです。下記は私宛に届いたDMです。「Illuvium(イリビウム)」のアカウントを装い巧みにだまそうとしてきます。こんな詐欺でも騙される人が何人かいれば儲かってしまうんですよね。
気を付けてほしいポイントとして、新しいDiscordサーバーに入った直後に送られてくるDMがあります。サーバーに入った直後に運営などからDMが来る仕組みになっているサーバーも多いですよね。そのタイミングで詐欺DMが送られてくるケースがあります。サーバーに入ってすぐ送られて来たDMはまずあやしいと疑ってください。
また、最近はDiscordだけでなくTwitterでも詐欺DMが増えているようなので、そちらも合わせて注意しましょう。
③リンクは公式のお知らせのみクリックしよう
Google検索を使ったり、Twitterのリンクを経由してサービスを利用するのは、実は危険です。なぜかというと、まずGoogleによる検索結果の最上部に表示される広告は、基本的にお金を払えば誰でも掲載することができます。つまりは、詐欺を目的としたページでも広告として最上部に表示できるんですね。
検索して一番上に出るとどうしてもクリックしやすいのですが、それが危ない。例えば「メタマスク」と検索したときに最上部に詐欺サイトが表示されていた事例もあります。
詐欺サイトは見た目やページ名だけでなく、URLも巧妙に偽装されていることがほとんどです。例えばさきほど紹介した「Illuvium」の詐欺サイトは、公式の「illuvium.io」の部分が「illuvium-io.site」になっていました。
実際にこのサイトも広告として最上部に表示されていたので、知識がなかったり対策を講じていなかったりすると、簡単に騙されてしまうでしょう。
対策として私は、公式のDiscordやtwitterアカウントから、公式のサイトに行ってブックマークしています。そして、そのブックマークからしか基本的にサイトにはいかないよう決めています。
④パスワード、セキュリティソフトは強固に
仮想通貨ウォレットのパスワードはできるだけ強固にして、セキュリティソフトも導入しましょう。パスワードが看破されるとそのまま被害に直結するので、パスワード周りのセキュリティは必須です。
また、最近はWindowsやMacの標準のセキュリティソフトも充実しているので別途セキュリティソフトを使わない人も多いですが、仮想通貨をさわる以上、セキュリティをより強固にするためにセキュリティソフトを導入するのがおすすめです。
パスワードを強固にするためには、ネット上で公開されている「パスワード生成ツール」を活用するのがいいでしょう。ツールを使えば、長さや記号の有り無しなどを設定するだけで、安全性の高いパスワードが自動で生成できます。
パスワードをより強固にするポイントは、生成したパスワードを紙に書いて保存すること。なぜかというと、もしパソコンがハッキングにあってしまったら、中にあるデータは全部抜かれてしまいます。パソコンの中に保存されていたら、どれだけ強固なパスワードでもまったく意味がないからです。
また、ブラウザや端末がパスワードを覚えてくれる機能はとても便利ですが、大元のパスワードをひとつ看破されるだけで、すべてのパスワードが同時に抜かれてしまいます。パスワードを保管したり管理してくれるサービスも存在しますが、サービス側のサーバーがハッキングされた事例もあるので、私はあまり信用していません。
紙での保管に加えて、二段階認証ができる場合は必ずやっておくのがおすすめです。スマートフォンなどを使った二段階認証なら、最悪スマホを取られなければ大事には至らないので、安全性も高まると思います。
⑤余剰資金で投資しよう
ここまでは「詐欺にあわないため」の話をしてきましたが、実際にはどんなに仮想通貨に詳しくても一回は騙された経験がある人がほとんどです。私が詐欺にあったときも、周りの人から「実は自分も被害にあったことがある」という話をたくさん聞きました。つまり、どれだけ知識があって対策していても、被害にあう危険性はゼロではないということ。
もちろん対策はしっかりと講じる必要がありますが、詐欺にあわない前提で動いてはいけません。そこで重要になってくるのが「余剰資金で投資しよう」ということ。言うならば、「無くなってもいいお金」で投資しましょう。最悪、その仮想通貨に入れてるお金が全部なくなっても生活には困らない範囲で、投資をコントロールする必要があります。ましてや、借金してまで仮想通貨に投資するのはもってのほか。絶対にお勧めしません。
⑥資金を分散しよう
資金の分散は万が一の被害を最小限に抑えるために有効な対策です。メタマスクなど、一か所に資金をまとめてしまうと、一度ハッキングや詐欺にあうだけですべての資金を失う危険性があります。経験として、私が詐欺にあったときは資産の分散をきちんと行なっていなかったせいで被害が大きくなってしまいました。
仮想通貨を保管する場所は、基本的に3つに分けられます。一つ目がメタマスクなどのウォレット。二つ目が海外取引所。三つめが国内取引所です。私の感覚ではありますが、国内取引所が最も安全度が高く、次に海外取引所、最後にウォレットという順番で安全度が低くなると思っています。
私はメインで国内取引所に資金を入れていて、加えて複数の海外取引所にも分けています。そしてそれ以外の資金をメタマスクに入れているという形です。また、面倒ではありますが、メタマスクのアカウントも複数作成して、資金を分散させています。
イメージとして「ウォレットは財布」だと考えてください。資金をウォレットだけでまとめて管理するのは危険です。例えるなら、「銀行口座のお金を全部財布に入れて歩いている」状態。それぐらい危ないと思った方が良いと思います。
⑦相談できる仲間を作る
最後のポイントは、「相談できる仲間を作る」こと。正直これが一番重要だと思います。私が被害にあったときは、すぐに助けてくれる人がいて、被害が発覚した直後から5、6人で通話しながら一緒に対策してくれました。もしあのとき1人だったとしたら発狂したんじゃないかと思います。
例えばSamuraiGG内で頼れる人を見つけたり、自分もTwitterのDMを常に開放してるので、なにかあれば相談してもらえれば、可能ならすぐに動きたいなと思っています。
SamuraiGGでは定期的に仮想通貨の勉強会を実施しているので気軽に参加、相談ください。
また、被害にあってしまったときは冷静に対処できなければ、二次被害につながる危険性もあります。
よくあるケースなので、詐欺被害にあって困っているときにDiscord内で相談すると、運営を名乗る人から「個別に対応しますのでDM送らせてもらっていいですか?」と言われることがあります。言われるがままに対応していくと、実はそれも詐欺で、そのまま二次被害にあってしまう。
DiscordだけでなくTwitterなどでも、同様のケースは本当に多いです。仮想通貨界隈で相談できる人、信頼できる人がいない場合ほど、このような二次被害にあいやすいと思います。二次被害を防ぐためには、もし被害にあってしまっても焦らず落ち着いて、信頼の置ける人に相談するのが重要です。
実際の仮想通貨の詐欺事例を紹介
最後に、私が実際に経験した詐欺事例や、最近増えている手口、多くの人が巻き込まれやすい事例について紹介します。
Discordのハッキング
私が、皆さんも被害にあってしまう可能性が高いと考えている事例のひとつが、Discordのハッキングです。なかでも、運営者がハッキングされるケースが多くあります。
例えば大手プロジェクトである「Illuvium」も過去にDiscordハッキングにあっています。「Illuvium」ではハッキングの被害を受けた人への返金補償が行なわれましたが、反対に、ハッキングされたけどしょうがないという考えで、補償がないケースもあります。
Discordハッキングを見抜くためには、詐欺手口の特徴を知っておく必要があります。
Discordはハッキングされた場合の対応が素早く、大体数日~数時間でアカウントが取り戻されるケースがほとんどです。ですので、ハッキングしている側も、アカウントが取り戻される前に急いで詐欺を働かなくてはいけないんです。
そのため、運営がハッキングされた際には、突発的なギブアウェイやセールの告知が連投されます。常にアンテナを張っている人のほうが引っ掛かりやすいのですが、「ちょっと普通と違うな」と思ったら、あせらずに様子を見たほうがいいでしょう。
シークレットリカバリーフレーズを教えてくる詐欺
これは最近流行っている手口で、学生を名乗る人から「お母さんが病気でお金が必要なのに、ウォレットからお金が下ろせなくなった。リカバリーフレーズを教えるのでお金を抜き出して助けて欲しい」といった内容のDMが来る。
これはどういうことかと言うと、ガス代が入ってないんですよ。そして、ガス代を入れるとガス代を盗まれてしまうという、すごいせこい手口です。
ラグプル、ハニーポットによる詐欺
ラグプル、ハニーポットは、プロジェクトや発行者による詐欺です。
ラグプルはNFTゲームなどにもよくあるパターンで、NFTを売って資金を集めた後に、ゲームを開発せずに資金を持ち逃げしてしまうケースです。ラグプルかどうか見分けるためには、ベンチャーキャピタル(VC)や、どういう企業や人たちが運営しているのかをちゃんと見ないといけません。
ハニーポット詐欺は、トークンを購入することはできるけど、販売はできないという仕組みの手口です。対策するには、初めから一気にドカンと資金を投入しないことが重要。
ラグプルやハニーポットなどのケースも、「冬の時代」に差し掛かって増えてきた詐欺事例だと感じます。
私が騙されたテストプレイを装ったハッキング
最後に私が経験した詐欺の事例を紹介します。
DMでゲームのテストプレイ・体験版のレビューを依頼されたんですね。それで、体験版のゲームをインストールしたら、ウィルスでハッキングされてしまいました。
正直、今思えば自分は馬鹿だったなと反省していますが、実際詐欺ではないプロジェクトから同じようなテストプレイのリクエストが来ることもあるんです。ごく普通のユーザーを対象にテストプレイが実施されるケースもあります。
騙されないために全部無視してしまうというのも一つの手なのですが、一番いい対策としては、「運営に確認する」こと。テストプレイのリクエストをもらったときには、まずは運営に直接確認しましょう。
安全に仮想通貨を扱うには知識が必要
最後に、今回紹介したように仮想通貨を扱うと、怖いことも多いですが、基本知識さえ備えておけば詐欺にあう危険性は低くなります。もしちょっとでも怪しいなというDMが届いたら今回紹介した事例を思い出し冷静に対処することが重要です。ただ個人的には怖がって何もしないよりはやってた方が面白いと思うので、最悪無くしてしまってもいいくらいの資産でまずは始めてみてはいかがでしょうか。
関連記事はコチラ▽
監修:ヨウ
ライティング:海藤うみ
編集:GOMOQU編集部