2018年4月24日にMyEtherWalletハッキング事件が起こりました。
原因はDNSサーバーのハッキング。
2018年4月25日23時現在は問題は解決済。
It seems that everything is now back to normal, BUT PLEASE STAY SAFE and read/share this guide: https://t.co/uBlsJ8IoNw
— MyEtherWallet.com (@myetherwallet) 2018年4月24日
ハッキング被害の可能性がある該当ユーザー
2018年4月24日の深夜〜25日朝にかけて「秘密鍵を使ってマイイーサウォレット」を開いたユーザーは
他のウォレットへETH&トークンを移動させておいた方が良いとのこと。
該当期間中に「秘密鍵」でマイイーサを開けていなければ大丈夫です。
2018年4月24日のMyEtherWalletハッキング事件はDNSサーバーのハッキングが原因
MyEtherWalletサイトへの攻撃があったわけではなく、DNSサーバーがハッキングされました。
ハッキングされたのはAWSのクラウドベースのDNSサービスである「Route 53」のDNSサーバー。
■DNSサーバーについて
IPアドレスと呼ばれるもので、ネットワーク上にある機器を識別するための数値です。
インターネット上で通信するときに必要となるもので「インターネット上の住所」といったところ。
数値の羅列では覚えにくいので「chalife.tokyo」の様に名前をつけたものをドメインと呼びます。
IPアドレスの情報とドメインをリンクさせる仕事を「DNS(Domain Name System:ドメインネームシステム)」とよび
DNSサーバーはドメインをリンクさせる仕事を行っています。
DNSサーバーがハッキングされたことで、
公式のMyEtherWalletのサイトに接続したら,DNSサーバーが公式のマイイーササイトではなくフィッシング用のサイトへ自動で飛ばされてしまうようになっていました。
(フィッシングサイトは大抵まったく同じデザインで作られるため一目で見分けるのは困難)
このフィッシングサイトで「秘密鍵」を使ってマイイーサをアンロックしてしまうと,
フィッシングサイトのフォームに秘密鍵を入力した内容がハッカーにわかってしまいます。そこからお金が盗まれてしまいます。
今回ハッキングの可能性があるのは「2018年4月24日の深夜〜25日朝にかけて秘密鍵を使ってマイイーサウォレットを開いたユーザー」
該当期間中に「秘密鍵」でマイイーサを開けていなければ大丈夫です。
またLedgerNanoSやTREZORなどのハードウェアウォレットでマイイーサウォレットを管理する場合、
ハードウェアウォレットをつなぐことが「秘密鍵」の代わりになります。
「秘密鍵」をブラウザへ打ち込みうことがないので、今回の被害にあうことはありません。
僕の場合には一度マイイーサにいれておいた仮想通貨を盗られてしまった経験があるので、この手の事件はいたたまれないですよ。
コインチェックのときは同じ境遇でみんな耐えてるので辛さを分かち合える感があったのですが、マイイーサは自己管理の甘さが自分に降り掛かってきて2,3日立ち直れなかったですね。
誰に話したらいいかもわからないですし、普段つかっている財布を落としたときと精神面の辛さは変わりません。
今後の対策
サイトにつないだらSSL証明書情報の名前を確認する。
うちのサイトのような弱いSSLを使っている場合には「保護された通信」のように表示されますが、
マイイーサのようなサイトの場合には、アドレスバーに「緑色のSSL証明書情報で『MyEtherWallet Inc』のように企業名が表示されます。
cookpadとかも企業名SSLの証明がアドレスバーにでてますよね。
SSL証明書情報の有無を確認することで、今開いているのが「公式サイトを開いているのか、フィッシングサイトを開いているのか」の確認ができます。
秘密鍵であけない。開く時はKeystoreを使う
Keystoreは秘密鍵を保持しているファイルです。
フォームに入力することがないので、フィッシングサイトで秘密鍵の入力に対抗できます。
オフラインでマイイーサを開く。
マイイーサウォレットはGithubというサイトでソースコードが公開されいて、
「自分のパソコンにマイイーサウォレットのソースコードを落とすことで『オフライン環境』でマイイーサを管理」することができます。
今回の事件はオンライン上で使っていてフィッシングサイトへ自動転送されてしまったこと。
オフライン使用時にはDNSサーバーが使われないので自動転送は起こりません。
・カスタムトークンの情報を追加しなおさないといけないこと
を除くと操作方法はオンライン版とまったく同じです。
『オフライン環境』になっている場合の確認方法としては、
URLが「file://〜〜」からはじまっていればオフライン状態です。
もちろんオフライン管理もセキュリティ的に完璧なわけではなく、
『自分のパソコンにマルウェア感染がおこって、Keystoreファイルやパスワードを取られてしまう』と盗まれる危険性はあります。
オフラインでマイイーサを開く方法はこちらでも紹介しています。 マイイーサウォレットからイーサリアムが盗まれてしまいました。
マイイーサウォレットからイーサリアムが盗まれてしまいました。
マイイーサウォレットをハードウェアウォレット連携して管理する
セキュリティ的に一番安全なのが「ハードウェアウォレットを使ってマイイーサウォレットを使用する方法」
ハードウェアウォレットはパソコンにUSBが接続して使うお財布です。
「送金時以外にはオフラインが保たれるのハッキング被害に極めて高いセキュリティ」を約束してくれます。
マイイーサウォレットと連携して使うことで、Keystoreファイルや秘密鍵の役割をハードウェアウォレットが代わりにやってくれます。
デメリットもありまして、
・リカバリーコードを忘れるととりだせなくなる。
・ハードウェアウォレット本体自体をなくしたらアウト
これらの項目はウォレット管理のセキュリティの基本部分なので、個々に気をつけておくしかありません。
オンライン管理はセキュリティに限界があるので仮想通貨の管理はリスクが減らせるハードウェアウォレットを。
ハードウェアウォレットはいくつか種類がありますが、おすすめは「LedgerNanoS」
マイイーサと連携して使用するだけでなく知名度の高い仮想通貨の保管ができます。
取引所からとりだせなくリスクを防いでくれます。
「LedgerNanoS」は何と言ってもコスパ良いところ。
またネット上に情報が沢山あるので思わぬアクシデントが起こった時に調べて対応できるのも良い点です。
ハードウェアウォレットという現物が目の前にあるので、資産を守っている気にもなりますし。
対応通貨も多くLedgerNanoS端末1台で約10種類前後の仮想通貨が管理できます。
GoogleChromeのアプリと連携して、現在の残金表示や送金・受取の管理がやりやすいのが特徴。
操作するときには「必ずPINコード」を打ち込むので、誤操作が起こりにくいのもセキュリティ面でバッチリです。(取引所の二段階認証のようなイメージです)
□LedgerNanoS対応通貨(Version1.4.2)
Bitcoin,Bitcoin Cash,Bitcoin Gold,Bitcion Private,Digibyte,HCash,Qtum,PIVX,Stealthcoin,Vertcoin,Viacoin,Ubiq,
Expanse,Dash,Dogecoin,Ethereum,ETHトークン、Fido U2F,Litecoin,Stratis,Ripple,Zcash,ZenCash,Komodo,PoSW,Ark,Neo,Stellar,Woleet
アマゾンやネットオークションなどでハードウェアウォレットの中古品が購入できますが、中古品はパスコードが見られてしまっている可能性もありえますので必ず「正規代理店」から新品を用意しましょう。
まとめ
取引所のハッキング報道もよくありますし、仮想通貨を管理していくためには個々のセキュリティ対策が必須になります。
現物がなくても仮想通貨を自分の資産です。
長期間取引しない仮想通貨はハードウェアウォレットに入れるなどし、
資産を守る努力を。
リスクは極力減らすようにしましょう。
