Nayutaの広報、Hitomiです!
今回は、Trezorというハードウェア型ウォレットを使ってみました。
この記事は、1.Trezorとは何か、2.Trezor(ハードウェア型ウォレット)を選んだ理由、3.ハードウェア型ウォレットに関するセキュリティ情報とCrypto Steelについて、という3構成になっています。Trezorの具体的な使い方については、後編で紹介しています。
TrezorのWebサイトやウォレットアカウントの仕様は、2018年6月上旬のものです。
1.Trezorとはなにか
Trezorとは、ハードウェア型ウォレットの製品シリーズ名です。チェコに拠点を構えるSatoshi Labsが提供しています。今回購入したのは、Trezor One(約11,000円)です。
このTrezorと並んで有名なのが、フランスのLedger社が提供しているLedger Nanoシリーズの製品です。
出典:https://www.ledgerwallet.com/products
そもそも、ハードウォレット型ウォレットは、仮想通貨を自分手元で安全に保管・使用できるという特徴を持っています。この詳細については2.で説明していきます。
Trezorには、絶対に他人にバレてはいけない秘密鍵が入っており、この秘密鍵を使って安全に取引を行います。(もっと厳密にいうと、中の秘密鍵を使ってトランザクションに署名をします。)
Trezorが対応している仮想通貨の種類は段々と増えており、特に2018年の2月末に出荷したTrezor Model Tは約500種類に対応しているようです。なお、EthereumやNEMなどの特定の仮想通貨は、別のインターフェース(EthereumですとMyEtherWalletかMyCrypto)と連携させることが必要となります。
2. Trezor(ハードウェア型ウォレット)を選んだ理由
ウォレットにはいくつかの種類があります。例えば、取引所が運営・管理してくれるウォレットや、サービス業者がそれを担うウェブウォレット、他にもモバイルウォレットやペーパーウォレット、ハードウェア型ウォレットと呼ばれるものです。
今回は、リスクと安全性を考慮して、Trezor(ハードウェア型ウォレット)を選びました。
ウォレットの種類を選ぶ際に気にかけたい事としてまず、「誰が秘密鍵を管理するか」が挙げられます。具体的には、取引所やサービス事業者といった「誰か」に預けるか、それとも、「自分自身で」管理するか、です。
前者の場合、第三者が管理してくれるのは楽ですが、リスクの面からみると、サーバーがハックされたり、その会社が倒産したり、ソフトウェアにバグが残っていたりと、自分たちの手に負えないところで問題が発生する可能性があります。
一方、後者の管理についてはすべて自己責任となります。自分で管理する方法としては、先ほども挙げた、モバイルウォレットやペーパーウォレット、ハードウェア型ウォレットがあります。名前から想像しやすいように、モバイルウォレットはスマートフォン用のアプリ、ペーパーウォレットは紙で出来たウォレットです。これらは、前者のように第三者を信用する必要がない代わりに、どうにかして秘密鍵を自分の手元で保管しなければなりません。
次に気にかけたいことは、紛失してしまった場合の想定です。モバイルウォレットはスマートフォンを紛失すると、ペーパーウォレットは火事などで燃えてしまうと、中に入れていた仮想通貨も一緒に失います。
一方、Trezorは、秘密鍵を自分の手元で管理するだけでなく、端末を紛失したとしても、秘密鍵・残高・取引履歴を新しい端末にリカバリーできるように設計されています。これにはRecovery Seed*というものが使われます。また、Trezorを使う時にはPINコードが必要であり、紛失した端末を他人が不正に使おうとしても、このPINを当てることは不可能に近い設計になっています。これは、PIN入力を間違えれば間違えるほど、次にトライ出来る間隔が指数関数的にどんどん延びていくからです。(例えば19-20回目間の入力では35時間待つ必要があります)
加えて、ハッカーがコンピュータに攻撃を仕掛けてきたとしても、Trezor独自のPINの入力方法により、PINコードが知られることはありません。
このように、リスクと高い安全性を考え、Trezorを選びました。もともと、P2Pマネーの本質は、個人で秘密鍵を管理することです。安易に第三者を信用せずに、自分で自分の資産を管理します。
しかし、安全性というのは確実に保障されるものではありません。お気づきの方もいるかもしれませんが、Trezor自体は盗まれても問題ありませんが、Recovery Seedを盗まれるとOUTです。ですので、Trezorを使うときは、これらをきちんと保管することが非常に重要になってきます。このRecovery Seedの保管については、3.で記載しているので気になる方はチェックしてみてください。
*決定性ウォレットアドレス用のマスター鍵を作るために必要となる乱数列が変換された12 、18 または 24つの英単語のことを指す。乱数列のままだと覚えにくい(記録しにくい)ため開発された。例えばwine、cat、machine。
3.ハードウェア型ウォレットに関するセキュリティ情報とCrypto Steelについて
ハードウェア型ウォレットの安全性の高さを記述したものの、現状としては、必ずしも安全であるとは言い切れません。実際に下に挙げている事例は、ハードウェア型ウォレットの安全性に関係するものです。
・2015年 電磁波を照射したり、電圧を上下させたりといったサイドチェーン攻撃を加えることで、Trezorから秘密鍵が盗みだせる可能性がこの時期に指摘された。例えば、オシロスコープを使って、ファームウェア1.3.2の状態のTrezorから秘密鍵が読み取ることが出来てしまう。(この後、Trezor側によって対応済み)
・2017年11月 ユーザーのクリップボードがハックされた。宛先アドレスをクリップボードにコピーして貼り付ける際に、マルウェア作成者が所有するアドレスにすり替えられる仕組み。
・2018年2月 LedgerウォレットのChromeアプリが起動するPC自体に、マルウェアが侵入する可能性が指摘された。宛先アドレスを生成するコードが改ざんされ、マルウェア作成者のもとへ送金される仕組み。
・2018年5月 モバイルウォレットアプリの元開発者がapiキーを不正に所持し、独自で作ったアプリを通して、ユーザーから仮想通貨を盗んだ。
他にも、本来は自分で設定すべきPINがすでに書かれた偽の説明書に従ってしまい、そのまま仮想通貨を盗みとられるという事例や、カンファレンスなどで偽Trezorが無料で配られるといった事例も起こっています。
このような事態に巻き込まれないためにも、自分の手元でしっかりと管理していきます。その第1歩として、紛失してはいけないRecovery Seedを厳重に保管しましょう。次回は、その手段として使用したCrypto Steelのレポートを書いていきます。