MetaMaskから暗号資産が流出する原因と防止策

MetaMask から資産が抜かれる原因の大半は、シークレットリカバリーフレーズ(秘密の復元フレーズ)の取り扱いミスと、フィッシング詐欺だ。流出を防ぐには、12単語のフレーズをデジタル保存せず紙や金属プレートに書き留め、絶対にウェブサイトや人に教えないことが最も重要になる。

スクリーンショット保存が最悪の選択肢である理由

スクリーンショット保存が最悪の選択肢である理由

シークレットリカバリーフレーズをスマートフォンのスクリーンショットで撮るのは、MetaMask の資産を失う原因として最も多い行為の一つだ。ほとんどのスマートフォンでは、撮影したスクリーンショットが自動的に iCloud や Google フォトといったクラウドストレージに同期される。クラウドアカウントが乗っ取られれば、攻撃者はその画像を開くだけでウォレットの全権限を奪える。

画像フォルダに平文で保存されたリカバリーフレーズは、マルウェアによる自動収集の標的にもなる。デバイスに侵入した悪意あるアプリが、写真ライブラリからテキストを読み取るケースは実際に報告されている。

リカバリーフレーズを安全に保管するなら、紙に手書きするか、火災や水害に耐える金属製のバックアッププレートを使うのが現実的な解だ。どうしてもデジタル保存が必要な場合でも、クラウドと同期しないローカル環境で、暗号化されたパスワードマネージャーに分割して保存するなど、相応の対策が求められる。

リカバリーフレーズを求められた時点で詐欺と判断する

リカバリーフレーズを求められた時点で詐欺と判断する

12個の英単語を入力させるフィッシングサイトは年々巧妙化している。一見すると本物の MetaMask 拡張機能と見分けがつかない偽のポップアップや、公式サイトに似せた偽のサポートページが、リカバリーフレーズの入力を求めてくる。

絶対に覚えておくべき原則がある。MetaMask の公式サポートも、開発チームも、いかなるウェブサービスも、正当な理由でユーザーのリカバリーフレーズを尋ねることは一切ないということだ。誰かが「ウォレットの認証が必要」「セキュリティアップデートのため」といった名目で12単語を求めてきたら、それは例外なく詐欺だ。

特に注意が必要なのは、Discord や X(旧 Twitter)のダイレクトメッセージで「MetaMask サポート」を名乗るアカウントからの接触だ。公式サポートが先に DM を送ることは絶対にない。困った時は support.metamask.io に直接アクセスし、自分からチケットを発行するのが安全である。

ホットウォレットとコールドウォレットで同じフレーズを使う致命的リスク

ホットウォレットとコールドウォレットで同じフレーズを使う致命的リスク

MetaMask のホットウォレットと Ledger などのハードウェアウォレット(コールドウォレット)で、同じリカバリーフレーズを使い回すのは極めて危険だ。多くの人が「普段使いの MetaMask をハードウェアウォレットで強化した」と誤解してこの構成を取っている。

本来、ハードウェアウォレットの役割は、秘密鍵をインターネットから隔離された専用チップ内に閉じ込めることにある。MetaMask はそのデバイスを操作するためのインターフェースに過ぎず、鍵自体はデバイスの外に出ない。ところが、同じリカバリーフレーズを MetaMask に直接インポートしてしまうと、その秘密鍵はインターネットに接続されたブラウザ環境に晒される。ホットウォレット側がマルウェアに感染すれば、コールドウォレットの資産も同時に奪われる。これではハードウェアウォレットを導入した意味が完全に失われる。

正しい運用は、ハードウェアウォレットで生成したウォレットを「ハードウェアウォレットを接続」機能で MetaMask に追加することだ。この方法なら、12単語のフレーズをブラウザに入力する機会は一切発生しない。ホットウォレットとコールドウォレットのリカバリーフレーズは、別々に生成して完全に分離するのが鉄則である。

ソーシャルログイン利用者が見落とすパスワードの重要性

ソーシャルログイン利用者が見落とすパスワードの重要性

Google や Apple、Telegram のアカウントで MetaMask を作成した場合、リカバリーフレーズは MetaMask 側で暗号化され、クラウド上にバックアップされる仕組みになっている。ただし、この暗号を解除できるのはウォレット作成時に設定した「ウォレットパスワード」だけだ。

ここで多くのユーザーが誤解するポイントがある。MetaMask も Google も Apple も、このパスワードを知らないし、忘れた場合に再発行することもできない。ソーシャルログインのアカウントを取り戻せても、ウォレットパスワードを紛失すればウォレットには二度とアクセスできなくなる。

つまり、ソーシャルログインのウォレットは「ソーシャルアカウントの認証情報」と「ウォレットパスワード」の二重の要素で保護されている。どちらか一方だけでは復元できず、両方が揃って初めて資産にアクセスできる仕組みだ。このため、ウォレットパスワードはリカバリーフレーズと同じレベルの厳重さで管理する必要がある。あわせて、Google や Apple のアカウント自体にも二要素認証を必ず設定しておくべきだ。

日常的な操作で資産を守るための設定と習慣

日常的な操作で資産を守るための設定と習慣

自動ロックで放置リスクを減らす

MetaMask の設定画面には、一定時間操作がないと自動的にウォレットをロックする「自動ロックタイマー」がある。これを数分単位に設定しておけば、パソコンから離れた隙に第三者に操作されるリスクを大幅に減らせる。デフォルトのまま長時間ロックされない状態で放置するのは避けたい。

不要になったトークン承認を取り消す

分散型取引所や DeFi プロトコルを利用すると、自分のトークンをスマートコントラクトが操作できるように「承認」を与える場面がある。この承認は、使わなくなった後も無期限で残り続けることが多い。もし承認先のコントラクトに脆弱性が見つかったり、悪意ある開発者によって悪用されたりすると、ウォレット内のトークンを抜き取られる可能性がある。

Etherscan のトークン承認チェッカーや、MetaMask の Portfolio ダッシュボードから、現在有効な承認を確認し、不要なものはガス代を支払って取り消す(revoke)のが安全な運用だ。これは数ヶ月に一度の定期メンテナンスとして習慣化するとよい。

よくある質問

リカバリーフレーズを忘れたらどうなるのか

MetaMask は非管理型ウォレットであり、秘密鍵やリカバリーフレーズをサーバーに保存していない。フレーズを紛失し、かつウォレットのロックを解除できる状態にもない場合、資産へのアクセスを復元する手段は存在しない。誰にも再発行はできない仕組みになっている。

偽の MetaMask 拡張機能を見分ける方法はあるか

ブラウザの拡張機能ストアで「MetaMask」を検索すると、名称を似せた偽物が紛れていることがある。インストール前にダウンロード数やレビューを確認し、開発元が「MetaMask」になっているかを確かめる。公式サイトのリンクからインストールするのが最も確実だ。

スマートフォンで MetaMask を使う場合の特有のリスクはあるか

クリップボードを監視してコピーしたアドレスをすり替えるマルウェアが知られている。送金前にアドレスの数文字だけでなく、全体を目視で確認する習慣が重要だ。また、公共 Wi-Fi での取引は中間者攻撃のリスクがあるため、可能な限り信頼できるネットワークを使う。

秘密鍵とリカバリーフレーズはどう違うのか

リカバリーフレーズは、ウォレット内のすべての秘密鍵を生成するための元になる12個または24個の単語だ。一方、秘密鍵は個々のアドレスに対応する64文字の英数字で、リカバリーフレーズから数学的に導き出される。普段はリカバリーフレーズだけを安全に保管すればよく、秘密鍵を直接扱う機会はほとんどない。

同じリカバリーフレーズを複数のデバイスで使っても安全か

同じフレーズを複数の MetaMask ウォレット(例えばパソコンとスマートフォン)にインポートすること自体は、同じアドレスを同期する正当な使い方だ。ただし、これによってフレーズが入力される機会が増えるため、キーロガーなどのマルウェアに晒されるリスクは上がる。信頼できるデバイスに限定し、パブリックな環境では行わないことが前提になる。

この記事のポイント

  • リカバリーフレーズはスクリーンショットで保存せず、紙または金属プレートに手書きで残す
  • 12単語を要求するウェブサイトや人物はすべて詐欺であり、絶対に入力しない
  • ホットウォレットとハードウェアウォレットで同じリカバリーフレーズを使い回さない
  • ソーシャルログインのウォレットパスワードは MetaMask 側でも復元できないため厳重に管理する
  • トークン承認の定期的な取り消しと自動ロック設定で日常的なリスクを減らす
共有:

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)