Web3 のセキュリティ

Web3 は、世界中の人々との交流と取引を楽しむ方法に変革をもたらす百年に一度の機会です。他の新しい旅と同様、この新しいムーブメントに参加するにはリスクが伴います。

騙されやすい観光客を食い物にする詐欺師がいるように、Web3 にもあなたを騙そうとする人たちがいます。泥棒や詐欺は今に始まったものではなく、古くから存在し、さまざまな形であらゆる業界にはびこっています。そのような事実にもかかわらず、救いとなるのは、Web3 では、ユーザー自身が高い意識を持ってセキュリティを管理すれば、新しい世界を安全に旅するためのベストプラクティスを学べるという点です。このレッスンでは、Web3 という旅を始める前に理解しておくべき重要な原則について説明します。

攻撃ベクトルとそれらを回避する方法

セルフカストディのレッスンを覚えていますか。セルフカストディを早めにレッスンで取り上げたのには理由があります。Web3 でユーザーを騙すのに最もよく使われるプロセスの一つに、Web2 のメンタルモデルからの移行プロセス (自分のユーザー名とパスワードの管理を Web3 のセルフカストディモデルに移管する) があります。セルフカストディは、強固なものですが、リスクがないわけではありません。

オンライン銀行アプリのパスワードを紛失した場合、あなたが自分のアイデンティティを証明できる限り、アカウントと資産を管理している銀行があなたに代わってパスワードをリセットしてくれます。しかし、セルフカストディでは、あなた自身が、自分のアイデンティティを証明する唯一の手段、すなわち秘密のリカバリーフレーズ (シードフレーズ) を保持しています。誰もあなたのアカウントをあなたに代わってリセットすることはできません。

あなたの秘密のリカバリーフレーズ (SRP) は、あなただけが所有し管理しなければいけません。

決して共有してはいけません。これはいくら強調してもしきれません。

Web3 の住人から SRP を騙し取り、公開してしまうことは、最も儲けが大きい詐欺行為の一つです。SRP を聞き出そうとする者には常に細心の注意を払うべきです。MetaMask は、ユーザーに SRP を尋ねることはありません。

もう一つの主要な攻撃ベクトルも、セルフカストディのリスクを利用して行われていることは偶然ではありません。この攻撃ベクトルは、MetaMask ウォレットを使って、分散型アプリ (DApp) にアクセス許可を与える仕組みを中心に展開されます。

「暗号資産ウォレットとは」のレッスンで説明したように、ウォレットは基本的にアイデンティティと権限を管理するためのツールです。一度でもサードパーティにウォレットの権限を与えてしまえば、彼らが要求することは何でも出来てしまうという不変の同意を与えたことになります。そのため、権限を与える際は、細心の注意を払う必要があります。

MetaMask で署名する最も一般的な権限の一つにトークンの承認があります。トークンの承認はさまざまなトランザクションで利用されますが、一般的には、要求元の DApp に、指定された額のトークンや NFT にアクセスする権限を与えます。評判が悪く、長い 16 進数やコードは、人間には判読不能ですが、詐欺師は簡単に悪用できます。悪意あるトランザクションの手口を理解していなければ、騙されてそのようなトランザクションを簡単に承認してしまうことでしょう。もう一つのよくある手口は、トークンへの無制限のアクセスを要求することです。一度でもこれを承認してしまうと、DApp は技術的に許可されているため、アカウントからトークンを無制限に取り出すことができます。悪意ある DApp であれば、アカウントは空にされてしまいます。

この分野において、承認と権限は複雑で発展途上のテーマと言えます。しかし、間違いなく言えることは、疑わしい DApp が提案するトランザクションは決して承認せず、確信が持てないときは、トークンに無制限にアクセスさせてはいけないということです。

トークンの承認についてより詳しく学びたい方は、「より詳細に学ぶ」の資料をご覧ください。

罠にかからないようにしましょう

悪意ある行為の兆候が分かれば、Web3 の安全性を大幅に高めることができます。悪意ある行為の兆候は、故意または偶然にかかわらず、通常とは異なります。その例をいくつか紹介しましょう。

緊急な要求：期限を設け、時間的な圧力をかけて緊急性を演出する
FOMO (Fear Of Missing Out：取り残される不安)：非現実的なリターン、エアドロップ、許可リストを約束する
なりすまし：有名なプロトコル・プロジェクトや、著名な人物になりすます
細部の作りが雑：ウェブサイトの文法・デザインが拙く、ブランディング全般に専門性が欠ける
予期しないメッセージ：金銭の要求、過剰な熱意、あなたのことを巻き込もうとする必死さ

常に覚えておくべきこと：うまい話には裏がある

ハードウェアウォレット：追加のセキュリティレイヤー

セルフカストディでは、自分でセキュリティを実装する必要があります。誰もあなたの代わりにそれを実装することはできません。誰もあなたの代わりに、アカウントへのアクセスを復旧したり、盗まれたトークンを保証してくれません。それができるのは、あなたと、秘密のリカバリーフレーズ (SRP) にアクセスできる人だけです。大きな責任を負うことになりますが、Web3 が世界中に根付く中、それについて学び、体験できるという栄光に浴することができるのです。

MetaMask は、何よりもユーザーセキュリティを優先しています。このような姿勢はウォレットの仕様にも表れており、ユーザーが危険な行為をしようとすると警告が表示されます。LavaMoat のようなツールの開発では、コード自体の安全性を確保し、このような教育的な取り組みも実践しています。さらに、ユーザーと詐欺師の間にセキュリティレイヤーを追加することも可能です。

ハードウェアウォレットとは、アカウントの秘密鍵を保護するためのコンピュータ外の物理デバイスです。ハードウェアウォレットは、携帯電話やノート PC で通常行う、メールをチェックしたり、アプリをダウンロードしたり、面白い猫の動画を閲覧したりするなどのオンライン活動から切り離されています。

これらのハードウェアウォレットと MetaMask を接続すれば、Web3 のアクティビティが柔軟に行えるようになります。MetaMask で DApp をブラウズし、ハードウェアウォレットでトランザクションに署名します。

ハードウェアウォレットと MetaMask (ソフトウェアウォレット) を組み合わせることで、ユーザーはセルフカストディのプロセスでより強い責任力を発揮して、セキュリティを強化できます。