米国MIT発パブリック・ブロックチェーン「アルゴランド(Algorand)」日本語情報/コミュニティサイト
ウォレットのセキュリティとベストプラクティスのガイド
クリプト・ウォレットは、ブロックチェーン・ネットワークとやり取りする際の取引に署名するため、またクリプト・コイン、NFT、トークンを含むデジタル資産を保管するために使用されます。ウォレットには公開鍵(ウォレット・アドレス)と秘密鍵(基本的にパスワード)が含まれており、これらは取引の完了と署名に必要です。秘密鍵にアクセスできる者は、資産を管理することができます。
個人や組織が活用できるクリプト・ウォレットには、複数の種類があります。セキュリティのレベルはウォレットの種類ごとに異なります。
ウォレットの種類は以下の通りです。
カストディアル・ウォレット:カストディアル・ウォレットでは、秘密鍵はサードパーティによって管理され、維持されます。カストディアル・ウォレットの一般的な例としては、CoinbaseやBinanceのような暗号通貨取引所を利用する際に設定するものが挙げられます。
ノンカストディアル(ホット)ウォレット:ノンカストディアル・ウォレット(インターネットに接続されているもの)では、秘密鍵はウォレットの所有者個人によって管理されています。Algorandで構築されたノンカストディアル・ウォレットの例として、Pera WalletやDeflyがあります。
コールド・ウォレット:コールド・ウォレットは、定義上、インターネットに常時接続されていません。これは、秘密鍵がハードウェア・ウォレットを通じてオフラインで保護されている場合、あるいは安全な場所で紙切れに保存されている場合もあります。コールドストレージ用のハードウェアデバイスの例としては、LedgerデバイスやTrezorデバイスがあります。
つまり、カストディアル・クリプト・ウォレットとノンカストディアル・クリプト・ウォレットの主な特徴は、その秘密鍵を最終的に管理するのは誰かということです。
ノンカストディアル・ウォレットでは、秘密鍵の保管とセキュリティの責任はウォレットの所有者にのみあります。つまり、自分の資産を保護することを選択した場合、その責任を理解し、適切に保管し、サイバーおよび物理的な脅威から保護することを保証する必要があります。この利点は、自分の資産へのアクセスを完全かつ単独でコントロールできることを意味し、自己主権を定義しています。
ノンカストディアル・ウォレットをセットアップする際、秘密鍵や回復フレーズなどの機密情報をコピーするよう促されます。(後者は一連のランダムな単語を指し、正しい順序で新しいデバイスに入力すると、クリプト・ウォレットとそれが含むすべての資金が自動的に新しいデバイスに移行します)。
この情報をオフラインのソース(紙に書くなど)にコピーすることは、ノンカストディアル・クリプト・ウォレットを保存するデバイスが紛失、危険、または損傷した場合のバックアップ手段です。アカウントをロック解除する25語のリカバリー・パスフレーズを紛失した場合、誰もあなたにアクセスを許可することはできません。
ユーザーがウォレットを守るためのヒント
-
複雑でユニークなパスワードを生成し、安全に保管するために、パスワード・マネージャーを使用してパスワードを保護する。パスワード・マネージャーを使用して強力で複雑なパスワードを作成した場合、通常、パスワードを頻繁に変更する必要はありません。もし、情報漏えいを受けたと思ったら、すぐにパスワードと2FA(二段階認証)を更新するのがベストです。複数のアカウント、特に銀行アプリ、クリプト、メールに関連する機密アカウントに同じパスワードを使用しないように注意してください。
-
取引所口座も含め、すべての口座で2FAを有効にする。アプリベースの2FAは、一般的にSMS認証オプションよりも安全です。
-
バンキング、クリプト、または類似のものに関連する機密性の高いアカウントには、アカウント専用のメールアドレス(または複数)を使用する。こうすることで、悪質な行為者にとって攻撃対象が広がることになります。
-
シードフレーズは自分だけのものにし、インターネットに接続されたデバイスには置かないようにする。
-
シード/リカバリー・フレーズをオフラインで保護し、複数のコピーを作成する。フレーズを半分に分割して、貸金庫など2つの場所に保管する。注意:アカウントをロック解除する25語のリカバリー・パスフレーズを紛失した場合、誰もあなたにアクセスを許可することはできません。
-
Ledgerなどの安全なハードウェア・ウォレットを使用し、安全な場所(耐火&防水セーフティボックス)に保管する。
-
ブラウザ、デバイス、コンピュータのオペレーティング・システムを常に最新に保つ。
-
返信したり情報を共有したりする前に、送信者のメールアドレスを確認する。
-
すべてのウォレットとアカウントで許可リスト(またはホワイトリスト)を利用できる場合は、それを有効にする。
-
秘密鍵を誰にも教えたり、公開したりしない。
-
Ledgerハードウェア・ウォレットなどのハードウェア・ウォレットは、信頼できるベンダーからしか購入しない。(これらのデバイスは、検証されていないサードパーティの販売者が多いため、AmazonやeBayなどでは購入しないことをお勧めします)。
-
ハードウェア・ウォレットをオンラインで購入する場合は、Amazonのロッカー・ロケーション(または同様の場所)に発送してもらいましょう。ベンダーがデータ侵害を起こした場合でも、あなたの自宅の住所が漏洩することはありません。
-
ウォレットをdAppsやその他のサードパーティ・サイトに接続する場合は、dAppを使用している間だけウォレットを接続したままにします。つまり、使い終わったらすぐにウォレットをアプリケーションから切り離すことです。
-
バランスは重要です。1つのウォレットにすべてのクリプトやNFTを保持するべきではありません。
アルゴランド上のアカウント・リキーイング(再キー化)
Algorandのユニークな機能は、ウォレット・アカウントを「再キー(Rekey)」するオプションです。これは、ウォレット・アカウントが危険にさらされた場合に重要になります。
他のネットワークでは、漏洩した秘密鍵を変更する必要がある場合、異なるパブリック・アドレスと秘密鍵を持つ全く新しいアカウントを開設し、そのアカウント内の資産を古いパブリック・アドレスから新しいアカウントを表す新しいアドレスに移動する必要があり、非効率と負担の大きい運用オーバーヘッドが生じています。
また、パブリック・アドレスと秘密鍵を定期的に変更することは、自動化された定期的な取引を中断する可能性があるなど、下流への影響をもたらします。再キー化は、ユーザーがパブリック・アドレスを変更することなく秘密鍵を変更できるようにすることで、既存のパブリック・アドレスと秘密鍵の摩擦を解決するものです。再キー化は、秘密鍵を変更する際に、パブリック・アドレスの継続的な使用と永続的な識別を、より柔軟で、より少ないオーバーヘッドで可能にします。
Algorandのユーザーは、ハードウェア・ウォレット、マルチシグ・アカウント、スマートコントラクト・ベースのキー(smartsig)など、いつでも新しい秘密鍵で既存のアカウントを保護することができます。
Algorand Rekeying(再キー化)について詳しくはこちら。
ALGOをサポートする一部のウォレットのセキュリティに関連する追加リソースです。
>Ledger Nano XをPeraウォレット・アプリに接続する
元ページ:https://www.algorand.foundation/wallet-security-best-practices