今回はセキュリティ対策について紹介させていただきます。
皆様は具体的にセキュリティ対策をされていますか?
「暗号資産のセキュリティは特にしていない」
口座開設でSMS認証を使用している
このような方も多いのではないでしょうか?
しかし現在、個人情報漏洩やフィッシングメールなどの被害も多く事件報道されています。
そのために最低限のセキュリティ対策は必須です。
- 暗号資産のセキュリティ対策について知りたい
- 具体的な導入方法について知りたい
- Google Authenticatorについて知りたい
なぜセキュリティ対策は必要か?
現在、下記のような個人情報の流出やハッキングのニュースが報道されています。
①ツイッターから540万人分の個人情報流出
オンラインのプライバシーと安全性の情報サイト「Restore Privacy」によると、脆弱性をついたハッキングにより、ツイッターの540万人分のユーザーデータが流出し、アングラサイトのハッキングフォーラム上で販売されているようだ。
ツイッターから540万人分の個人情報流出か、CZがフィッシング詐欺を注意喚起
これに伴い、大手暗号資産(仮想通貨)取引所バイナンスCEOのCZ氏は、今後フィッシング攻撃が増加すると思われることから、ショートメッセージやEメールに記されたリンクを安易にクリックしないように注意を呼びかけた。
Anticipate more phishing attacks. Never click on links in SMS or emails.
— CZ 🔶 Binance (@cz_binance) July 24, 2022
» Twitter data breach exposes contact details for 5.4M accounts https://t.co/xD7I9O3EiJ
大規模な個人情報流出はこれからも生じることが予測されます。
②ソラナ(Solana/SOL)ブロックチェーンで大規模ハッキング(2022年8月3日)
We are working closely with other teams to get to the bottom of a reported vulnerability in the Solana ecosystem. At this time, the team does not believe this is a Phantom-specific issue.
— Phantom (@phantom) August 3, 2022
As soon as we gather more information, we will issue an update.
2022年8月3日にSolanaブロックチェーン上でハッキングが発生しました。
その結果、多くのウォレットから資金が流出しました。
原因は「ウォレットプロバイダーである「Slope」の秘密鍵の管理方法に問題があった」と原因特定されました。
これからも暗号資産(仮想通貨)にハッキングリスクはあることを念頭に置くことが必要です。
暗号資産サイトからフィッシング詐欺のお知らせ
①【bitFlyer(ビットフライヤー)】フィッシング詐欺の警告
フィッシング詐欺とは
※フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のサイトにアクセスさせたりするなどの方法です。
※クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
※フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われます
最近の偽サイトは、URL やデザインを巧妙に作り変えており、なかなか区別が難しいケースも多くあります。
bitFlyer(ビットフライヤー)の推奨するユーザー対策
下記の方法等をお試しいただくことで、お客様ご自身で対策を取ることができます。
- URL のクリック前に必ず、URL が https://bitflyer.com/ から始まっているかを確かめる
- 公式 HP をあらかじめブックマークしておき、不審なメールやネット掲示板に書かれた URL からアクセスしない
- bitFlyer を名乗る送付元からメールが届き、通常と異なるログインの手順などを要求された場合、安易に従わない
- 不正なウェブサイトでパスワード等を入力した場合に備え、二段階認証等の設定をご検討ください
【重要】bitFlyer を装った不審な電子メールにご注意ください 。
— bitFlyer(ビットフライヤー) (@bitFlyer) May 24, 2018
5 月 24 日現在、bitFlyer を装った不審な電子メールが確認されております。画像のようなメールをお受け取りになられた場合、文面に記載されたリンク等はクリックしないでください。 pic.twitter.com/HfmqPjHSf2
②【bybit(バイビット)】SMSフィッシング詐欺に注意
下記内容がbybitより推奨されています
お客様のアカウントをGoogle認証(二段階認証)と速やかに連携
Google認証と紐付けさせるのに最も適したタイミングは、Bybitアカウントに初めてログインした直後です。Google認証(二段階認証)または同等のものをご登録メールアドレスのアカウントにも有効化することをおすすめします。
代表的な電子メールサービスプロバイダーの公式ガイドで、Gmail, ProtonMail, iCloud, Hotmail and OutlookおよびYahoo Mailといったメールアカウントに二段階認証を設定する方法を参照してください。
公共Wi-Fi接続でBybitを利用を控える
公共の場でお客様のPCを使用して取引行為を行う必要のある場合には、ご自身のスマートフォンでテザリングされた4G/LTE回線でのモバイルデータ通信など、安全なワイヤレス接続を使用しましょう。
また、外出先でのお取引には、Bybitの公式アプリのダウンロードもご検討ください。
フィッシングから身を守る
攻撃者やハッカーが用いる最も一般的な手法は、「スピアーフィッシング」です。ターゲットの個人がメールやSMSメッセージを「信用できる」発信元から受信するもので、その内容はもっともらしいキャンペーンやプロモーション案内に、正当な企業ドメインのように見える偽の企業ウェブサイトに誘導されるリンクが含まれるものです。
また別のタイプのフィッシング攻撃は、「サポート」アプリを名乗るボットを使い、アシスタントを装いながら、グーグルシートを使ったサポートフォームへの入力を促し、秘密の質問などの機微情報の取得を試みるものです。
上記の暗号資産サイトbybitから『Google認証(二段階認証)』が推奨されています
メールアドレス/SMSの二段階認証はハッキングリスクあり
暗号資産の口座開設において、二段階認証が推奨されています。
下記3つの方法があります。
- Google認証(二段階認証)
- SMS認証
- メールアドレス認証
SMS認証は簡単ですが、その分個人情報の流出フィッシングサイトなどリスクがります。
一方Google認証(二段階認証)は携帯電話やメールアドレスと独立しているアプリです。
そのためにセキュリティ対策としてはおすすめできます。
二段階認証アプリ「Google Authenticator」は必須
Twitterで「Google Authenticator」の設定
下記blogで2段階認証設定方法について解説してます。
~Twitter編~
「Google Authenticator」の設定と暗号資産の口座開設
下記blogで2段階認証設定方法について解説してます。
~暗号資産編~
暗号資産はハッキングリスクがあると警戒しよう
上記のが画像のように、フィッシング情報の届け出件数は増加してます。
そのため個人情報の流出によりSMSやメールアドレスは安全性という意味で認証アプリより低い可能性があります。
リスクを少しでも減らすために、二段階認証アプリの設定はこれから必須と考えても良いと思います。