NEWS

2019/07/16 22:23

先日Ledgerのセキュリティ対策チームからTREZORのセキュリティの脆弱性の指摘がありました。


ハードウェアウォレットの各社は自社製品や他社製品の脆弱性の対策を兼ねて自社、他社のウォレットの分析/検証を行ったり、またクラッキング対策(盗難など悪意のあるハッキングをクラッキングといいます。)に脆弱性をみつけた人への報酬制度を設けていたりします。

LedgerはLedgerのウォレットの脆弱性を指摘した人に報酬を与える制度があります。

今回指摘されたTREZORのウォレットの脆弱性についてですが、TREZOR本体を盗まれた場合、1万円程度の安価で誰でも簡単に手に入る機械を使い、盗んだTREZOR本体の秘密キーを復元できるというものです。(専門知識がなければできませんので誰でも簡単にできるものではありません。)



こちらはLedgerの最高セキュリティ責任者であるCharles Guillemetが公開した動画です。
実際にTREZORを使って実験してPINコードと秘密キーを表示させています。

本体が盗まれても秘密キーがあれば復元できるため、秘密キーが盗まれていなければ安心という説が今回TREZORにおいては覆される脆弱性の発見になっています。この問題に関してTREZOR側はパスフレーズの設定がされていれば、その心配はないと発表しています。
それに対してLedger側はパスフレーズでの対策に依存するのは問題と指摘しています。

このクラッキングの手法自体は公開されているものではないため、誰もができる作業ではありませんが、この事例を考えてTREZORの本体も盗まれないよう注意しておく必要があります。万が一盗まれてしまった場合や紛失した場合、24単語のリカバリーフレーズを使って復元し、すべての仮想通貨を新しい24単語のリカバリーフレーズで設定したものに移し替えましょう。

パスフレーズの設定はTREZORのファームウェアのアップデートを長らくしていない人や1年以上前に購入して、一度も動かしていない人。TREZOR Bridgeを使用していない人はパスフレーズの設定ができていません。TREZORの最新のファームウェアは2019年7月16日現時点で1.8.1になります。

TREZOR Bridgeのアプリケーションを使い、ファームウェアを最新にするとパスフレーズを設定画面がでてきます。



パスフレーズは文字数が多く複雑であればクラッキングするのに時間がかかります。ただし、TREZORで仮想通貨のウォレットの種類を切り替えるたびにパスフレーズは聞かれることになりますので、設定する場合、パスワード管理ツールなどを使用してパスフレーズの管理をすることをおすすめします。(ここもパスワード管理ツールのセキュリティ問題等もあるため最終的にはご自身で判断してください。)

パスフレーズは24単語を25単語の秘密キーにするため重要!!

パスフレーズはPINコードのように忘れたから、24単語のリカバリーシードから復元できるものではありません。このパスフレーズは本体に設定されている秘密キーにプラスされる25単語目の秘密キーになります。そのため、メモしたリカバリーシードだけで復元できなくなります!ここは重要なところです。

そのためパスフレーズを設定した後、新しくでてきた各通貨のアドレスに対して仮想通貨を送金した後、パスフレーズを紛失してしまうと、2度とその仮想通貨にアクセスすることはできなくなります。本体そのものに仮想通貨は入っていませんが、ブロックチェーンにデータとして取引されるブロックチェーン上の仮想通貨はすべて秘密キーと紐付いています。TREZORで初期設定時にメモしたリカバリーシードとTREZOR Bridgeで設定したパスフレーズは両方とも必要です。パスフレーズを設定していたのにそれをなくしてしまえば、リカバリーシードをなくしてしまったのと同じことです。

そのためパスフレーズを設定したら必ず忘れないようにする必要があります。しかし、このパスフレーズは最大37文字で設定するのですが、短いかんたんなパスフレーズではセキュリティレベルは低いため、長い無作為な英数字にする必要があります。

そのため、一般の人でTREZROを持ち歩くことはないし、家から盗まれる可能性もないよ。と断言できる人は設定しなくてもいいとおもいます。(パスフレーズをなくしてゴックスしてしまったら意味がないです。)ただ、ここはご自身の判断と責任において設定するしないを判断してください。

パスフレーズ設定前の資産にアクセスするには?

パスフレーズの設定をしていない。長らくファームウェアのアップデートをしていない場合はそのままいままでの資産にアクセスできます。パスフレーズは設定したけど、その後送受をしていない場合は、パスフレーズを空にしてウォレットを開いてください。
パスフレーズを設定してから各ウォレットにアクセスしてもそこに何ら送金をしていなければ、中身ははいっていません。
もし、パスフレーズを設定して25単語にして使いたい場合、今までの仮想通貨の残高をパスフレーズ設定後のものに送金し直す必要があります。

ハードウェアウォレット本体と秘密キーのセキュリティについて

TREZORに限らず、ペーパーウォレット、ホットウォレット、ハードウェアウォレットであっても、保管方法に関してはそれぞれ危惧するべきことがあり、完璧なウォレットとセキュリティというものは自分で考えて対策する必要があるというのが現状です。なんであれリスクはついてまわります。ペーパーウォレットの場合は紛失したら終わりです。ホットウォレットはトランザクションの作成時に秘密キーを盗まれるリスクがあります。ハードウェアウォレットに関しては本体及び、24単語の管理やその人の保管意識やセキュリティ意識にも依存します。



どれに置いても今の所完璧といえる状態にするには本人のセキュリティ対策と正しいウォレットの仕組みの理解が不可欠です。
この漫画は、妄想(左のコマ)では、暗号化されてるパソコンをクラックするためにお金をかけて解読しようとこころみるが、複雑なためムリだと諦めるというものです。しかし現実(右のコマ)はどんなに強固に暗号化されているパソコンを持っている人間でも凶器(5ドルのレンチ)で脅せばパスワードを盗めるという話です。

実際に物理的な犯罪としてウォレットを盗んだり、誘拐したり、という事件はおきています。そのため、他人に残高をみられないこと、残高を話さないこと。もし持っていると知られている立場の場合ダミーのアカウントに少額仮想通貨をいれておくことなどが提案されています。

海外ドラマでもランサムウェアでビットコインで支払うように迫られるシーンなどがあったり、ビットコインでの身代金要求というのは実際に増えています。iPhoneを盗まれて、または紛失した時にiPhoneを探すの機能を悪用して、交換にビットコインの支払いを求められる設定をされるといった事例もあります。
アダルトサイトや違法動画・漫画サイト等から感染するランサムウェアでもビットコインの支払いを要求されるものがあります。個人情報との交換を条件に悪意のあるウイルスを仕込むサイトもありますので気をつけましょう。

ハードウェアウォレットを安全に使うには

・パソコン、パソコンにインストールしているアプリケーション、本体のファームウェアが最新であること。
・ウイルス対策ソフトは必ずパソコンに入っている状態であること。
・パスワード、メールアドレスの組み合わせは使い回さないこと。
・パソコンのOSのアップデートは随時行うこと。
・本体を紛失しないこと。
・PINコードを設定していること。
・24単語のリカバリーフレーズをきちんとメモ、管理できていること。
・操作や仕組みを理解していること。
・偽物の情報にだまされないこと。

ハードウェアウォレットを使う上では必ず上記の内容をご自身で理解していることが大事です。Ledger Nano Sの場合。Ledger LiveとLedger Nano S本体、両方のアップデートがそれぞれあります。また本体にインストールされている各コインアプリも随時アップデートされています。

TREZORも同じく、TREZOR Bridgeがアップデートされ、本体のファームウェアもアップデートされます。
本体を盗まれたり、24単語の秘密キーを盗まれては仮想通貨を失います。

パソコンの操作を普段しない方やパソコンをうまく使えない場合は操作を難しく感じるかもしれませんが、ご自身で少しずつ覚えていく他ありません。TREZORやLedger Nano Sはコールドウォレットなので、あまり持ち歩くことはないと思いますが、盗まれたり紛失をしないように十分に気をつけてください。

普段の少額の決済はホットウォレット、大事な資産はコールドウォレットと使い分けましょう。
あまりLedger Nano Sの操作を始め、ハードウェアウォレットやブロックチェーンの仕組みがよくわからないという方は勉強会にご参加ください。


TREZORの勉強会もご要望があれば開催致します。リクエストはこちらのフォームからお問合せください。