上記のTwitterで紹介されている記事の和訳を掲載します。

重要なお知らせ

  • Ledger Liveにてマルウェアの感染が確認されました。
  • 感染した場合、偽のアップデート後にリカバリーフレーズ(24単語)を要求されます。※絶対に入力しないでください※
  • 現時点では、1台のWindowsPCにて感染が確認されています。
  • 感染した場合の対応についてはLedger社に確認中です。進展があり次第ご報告させていただきます。

 

 


この機能はLedger Blueでは使用できません。

Ledger Nano Sのファームウェアが1.3以降で使用可能です。

2つめのPINコードを設定する

この機能を使用すると、Ledger Nano Sに2つめのPINコードを入力した時のみ表示・管理できるウォレットが作成されます。

そして、基本的に大きな資産は2つめのPINコードを入力した時のみ表示できるウォレットに保管するようにしましょう。

これにより、万が一事件等に巻き込まれてPINコードの入力を強要されても従来のウォレットにある分だけの資産に被害を抑えることができます。

1つめのPINコードを教えた場合でも2つめのウォレットは表示されないので、2つめのウォレットの存在に気づかれることすらないでしょう。

2つめのPINコードの設定方法

・Ledger Nano SのSettingsを選択

・Securityを選択

・Passphraseを選択

・Attach to a PINを選択

・This feature is for advanced users. Would you like to continue (この機能は上級者向けです。それでもこの設定を続けますか?)と表示され、右のボタンを押すと設定続行となります。

 

・Choose a secret PIN codeと表示されたら両方のボタンを同時に押します。

・2つめのPINコードを決めて入力します。

・Confirm your secret PIN codeと表示されたら再度両方のボタンを同時に押します。

・PINコード入力画面になるので、先ほど入力した2つめのPINコードを入力します。

・Enter a secret passphraseと表示されたら両方のボタンを同時に押します。

・?0 – ab – AB(順番は異なる場合があります)と表示されたら

秘密のパスフレーズを決めて入力、最後にチェックマークを両方のボタンで同時に押します。(秘密のパスフレーズは最大100文字です)

フレーズを忘れた場合、二度とこのウォレットを表示することができなくなります。

?0 – ab -ABと表示されている時に両方のボタンを押すと真ん中のabが選択されたことになり、小文字のa〜zが選択可能になります。

?0 – 記号と数字

ab – 小文字のa〜z

AB – 大文字のA〜Z

・Confirm your passphraseと表示されたら両方のボタンを同時に押します。

・先ほど入力した秘密のパスフレーズが表示されますので、右のボタンでOK、左のボタンでNG再設定の流れになります。

(NGを選択すると一番最初から設定やり直しになります)

・Enter your current PINと表示されたら、両方のボタンを同時に押してから現在のPINコードを入力します。(2つめのPINコードではありません)

・Processingと表示されたら、少し待つと設定完了です。

 

これ以降PINコードの使い分けにより、2つめのウォレットを表示・管理することが可能です。


ハードウェアウォレットの役割は、ハッキングから秘密鍵を保護することにあります。しかしながら、資金の損失やハッキングを防ぐにあたっては、ユーザー自身が行うべきセキュリティ対策も存在します。

 

リカバリーフレーズ(24単語)のセキュリティ

ハードウェアウォレットを初めて初期化する際、24 個の単語を書き出すよう指示があります。これらの 24 単語は、シード(これによって秘密鍵が生成されます)を人間にとって読みやすいようにしたものであり、これを用いることで別の Ledger デバイス(もしくは他社の対応デバイス)を用いてあなたの暗号通貨資産へアクセスすることが可能になります。

 

つまり、この 24 単語があれば誰でも、あなたの資産にアクセスすることが可能となるのです(なお、PIN コードはデバイスの保護を目的としており、リカバリーフレーズとは関係がありません)。

 

したがって、これら 24 単語を安全に保管しておくことが極めて重要となります。

 

  • 決して、リカバリーシート(リカバリーフレーズを記入した用紙)は撮影しないでください(クラウドに配信され、ハッカーの手に渡る可能性があります)
  • 決して、24 単語をコンピュータやスマートフォン上で入力しないでください
  • 日光、湿気、火気を避け、安全な場所にリカバリーシートを保管してください

 

加えて、あなた自身が 24 単語の生成者であるということが必須です。24 単語がすでに設定されたデバイスは、決して用いないでください。また、第3者によって知らされた 24 単語も絶対に使用しないでください。この 24 単語を把握しているのは世界中であなただけである、という状況でなくてはなりません。

受信用アドレスの確認方法

ハードウェアウォレット使用にあたっては、コンピュータ上のソフトウェアインターフェースを用いて操作を行い、インターネットへのアクセスを行います(これによって、残高を計算したりトランザクションの履歴を取得することができます)。ソフトウェアもしくはコンピュータがハッキングされていないかどうかを確かめるのは非常に困難です。したがって、スクリーンに表示された情報は改ざんされている可能性がある、という前提のもとでソフトウェアを使用する必要があります。

 

コインの受信にあたって受信用アドレスを参照する必要がある場合、いわゆる中間者攻撃を防ぐために、いくつか行うべきことがあります。ハッカーがあなたのコンピュータスクリーンをコントロールしている場合、受信用アドレスを改ざんすることにより資金の受取手をハッカー自身へとすり替えている可能性があるのです。

 

したがって、正しい受信用アドレスを Ledger デバイス上に表示させることによって、アドレスが改ざんされていないか確かめる必要があります。

 

受信画面の右下に、モニターを模したボタンがあり、これをクリックすることで Ledger デバイス上に正しい受信用アドレスを表示させることができます。このアドレスと、Chrome アプリケーション上に表示されているアドレスが一致していることを確かめ、これが正しい送信アドレスであるということを確認してください。なお、MyEtherWallet においても、これと同様の機能が存在します。

 

送信にあたり、こうした機能を備えていないソフトウェアウォレットを用いるという場合、最初に少額を送信した上で、これが正しいアドレスに送信されている(あなたの残高が増加している)ことを確認してください。この確認作業を、別のコンピュータ上でも行うのが理想的です。正しいことが確認されたアドレスに関しては、再利用することも可能ですが、受信用アドレスとしてスクリーン上に表示されるのは新しいアドレスとなります。なお、これはハードウェアウォレットの仕組上、正常なことですのでご安心ください。

.

送信先アドレスの確認

第3者に資金を送信する場合、送付先のアドレスが通常ウェブページ上に表示もしくはメールによって通知されます。マルウェアにとっては、このアドレスを変更するのは容易です。例えば、クリップボードをモニタリングしておき、あなたがコピーしたアドレスを改ざんされたアドレスに置き換える、といった具合にです。

 

したがって、必ずデバイス上で送付先のアドレスを確認する(これを行わないと送信できないような仕組みになっています)のに加え、別のチャネルを用いて再確認するようにしてください。例えば、SMS あるいは他のメッセージングアアプリを用い、こちらにアドレスを送信するように設定を行う、といったことが挙げられます。取引所に送信する場合、まずは少額を送信してみて、これが確実に自らのアカウントに送信されていることを確認してください。

 

さいごに

ハードウェアウォレットは、インターネットからの隔離によって秘密鍵を保護するためのツールです(保管された秘密鍵は、オンライン上に存在するという「ホット」な状態にはありません。このため、ハードウェアウォレットはしばしば「コールドストレージ」と呼ばれます)。しかしながらこれは全ての攻撃に対する安全性を確証するものではなく、上述の通り、ユーザー自身も常に、全ての情報を再確認する必要があります。

 

暗号通貨は非常に強力なツールですが、強大な力には必ず大きな責任が伴います。自らの資金を自分でコントロールするのは簡単なことではなく、しっかりとした管理が必要となります。自らの良識に従い、「信頼」するのではなく常に「確認」するようにしてください。



マルウェアによってビットコインがアクセスされることはありますか?

ハッキングされたコンピュータが、Ledger デバイスのセキュアエレメントの内容にアクセスすることは決してできません。秘密鍵やビットコインを盗み取ることができるような攻撃方法は現段階で存在しません。仮にコンピュータが完全にハッキングされ、トランザクションの送信アドレスを勝手に変更しようとしたとしても、トランザクション承認時の 2段階認証プロセスにおける2番目の認証において、これが防止されます。


Ledger では、この不正開封防止シールは意味がないと判断し、箱への貼り付けを中止しました。

Ledger デバイスを開封する動画を視聴していて、箱の一面にグレーのステッカーが付いているのを見たことがあるかもしれません。

しかし、現在発送される箱には、このステッカーが付いていません。

Ledger では、この不正開封防止シールは意味がないと判断し、箱への貼り付けを中止しました。

随分前、これを貼り付けていた時期も数ヶ月ほどありましたが、これはあくまで標準ステッカーとしてのものであり、シールとしての機能を果たしていたわけではありませんでした。

箱の中には、”Did you notice” と題されたカードが同封されており、これに関する説明がなされています。このカードを現在所有していないという場合は、こちらのブログ記事をご覧ください。

デバイスが本物であるということを証明するためには、偽造や置き換えを容易に行うことができるようなシールではなく、

本体内部のセキュアエレメントを用いることが最善の方法である、ということが上記ブログ記事で説明されています。

いずれにせよ、デバイスを用いる前に初期化を行う必要がありますので、心配はいりません。

デバイスはウォレットと完全に同期され、これに関する情報を把握しているのは持ち主であるあなた自身だけなのです。

なお、設定の際は ”Configure as new device” を選択するようにしてください。

デバイスが本物であるかどうかは、デバイス使用時にデバイスと同期させる Ledger アプリケーションによっても、確認することができます。

  • デバイスがアプリケーションによって認識されるならば、デバイスは本物です
  • デバイスがアプリケーションによって認識されないならば、単純な不具合が原因である可能性があります

Ledger ウォレットにおいては、コインを安全に管理するために以下の対策が講じられています:

LEDGER がユーザーの秘密鍵を把握することはありません

Ledger は非中央集権的なウォレットです。初期化の段階で、Ledger ウォレットに鍵が保管されることとなります。秘密鍵のコピーであったとしても、Ledger がこれを入手することは不可能です。

ウォレットに関する秘密情報が流出することはありません

秘密鍵はチップ上に保管されその他の場所に送信されることは決してありません。送金を行う際、トランザクションはセキュアエレメントにおいて署名され、たとえ Ledger ウォレットが接続されたコンピュータであっても、秘密鍵を把握することはできません。

PIN コード

USB ポートを用いてコンピュータに Ledger ウォレットを接続する際、PIN コードが要求されます。誤った PIN コードを3回連続で入力した場合、Ledger ウォレットはリセットされ、内部のデータが全て消去されます。

2 回にわたる承認プロセス

全てのトランザクションの承認において、2段階認証が必要となります。オフラインで保管されたリカバリーシート上に記載されたコードを入力することとなり、より強固なセキュリティが実現されます。トランザクション署名にあたってデバイス上で手動の承認を行う必要があります。

バックアップ

Ledger ウォレットの初期化プロセスにおいて、リカバリーフレーズ(ランダムに選ばれた24個の単語)が生成されます。万が一 Ledger ウォレットが盗まれたり、紛失したり、破損した場合であっても、このリカバリーフレーズを用いることでコインを復元することができます。