今回は、メタマスク利用上の注意点について、大手仮想通貨取引所トレーダーとしての勤務経験を持ち現在では仮想通貨コンテンツの提供事業を執り行う中島 翔 氏(Twitter : @sweetstrader3 / Instagram : @fukuokasho12)に解説していただきました。
目次
- メタマスクとは?
1-1.メタマスクの概要
1-2.メタマスクの特徴と機能 - メタマスクでハッキングが起こる原因
2-1.ウォレットの複製による不正送金
2-2.無線LANを利用した資金の抜き取り
2-3.フィッシングメール
2-4.メタマスクを利用する際の注意点 - まとめ
仮想通貨(暗号資産)のウェブウォレットとして有名なメタマスク(Metamask)はDeFiの普及により利用者が急増しており、ダウンロード数は2,100万件以上に上ります(2022年現在)。一方でフィッシング詐欺を中心とする盗難被害も多発しており、使用には十分な知識と注意が必要となっています。
そこで今回は、メタマスクの概要やハッキング事例について解説します。
①メタマスクとは?
まずは、メタマスクの基本的な事項を解説します。
1-1. メタマスクの概要
メタマスクはイーサリアム関連ソフトウェアの開発企業ConsenSysによって2016年に公開された仮想通貨ウォレットです。月間アクティブユーザー数は2021年11月時点で2,000万人を突破し、前年比で数十倍に増加しています。
メタマスクはGoogle Chromeなどのウェブブラウザの拡張機能やスマホアプリとして利用できます。イーサリアム(ETH)や、イーサリアムで発行されたERC-20トークンなどを保管できるほか、イーサリアム仮想マシン(EVM)互換のあるAvalancheやPolygon、Binance Smart Chainなどのネットワークのデジタル資産も利用できます。
シンプルなインターフェースでサポートも豊富なため、これまで一般的な取引所しか利用したことの無かったユーザーもメタマスクを使って、DeFiを利用するようになってきています。
1-2. メタマスクの特徴と機能
①パスワードだけで、無料で使用可能
アカウントの登録はメールアドレスだけで完了でき、スマホアプリも含めて完全無料で使用可能となっているため、気軽に利用できます。
②ブラウザとの連携
メタマスクはウェブブラウザの拡張機能やスマホアプリとして利用が可能で、現在対応しているブラウザは下記の通りです。
- Google Chrome
- Firefox
- Brave
- Microsoft Edge
③ERC20トークンやNFTの管理が可能
メタマスクではイーサリアム及びイーサリアムベースの仮想通貨やNFTの保管・管理・送受信が可能となっています。そのほか、EVM互換性を持つAvalancheやPolygon、BINANCEのトークン規格などでも利用することができます。
④他サービスとの連携
メタマスクはDApps(分散型アプリケーション)やブロックチェーンゲーム、NFTマーケットプレイス、DEX(分散型取引所)等に接続することで、ウォレットに保有する仮想通貨で決済を実行できます。
一般的な仮想通貨取引所とは異なり、分散型サービスでは運営側が各ユーザーのトークンを保有しません。ユーザーはメタマスクを介してDEX上でスワップを行ったり、トークンのレンディングを実行できるため、仮想通貨の所有権を手元に置きながらスムーズな運用が可能です。
例えば、OpenSeaでNFTを買いたい場合、イーサリアムをCoincheckなどの日本の仮想通貨取引所で購入し、メタマスクに転送します。OpenSeaとメタマスクを接続するだけで、NFTを購入する際にメタマスク上のイーサリアムで決済できます。取引後にNFTがメタマスクに転送されるという仕組みです。
⑤通貨のスワップ(交換)が可能
メタマスクでは、ウォレット内で通貨のスワップ(交換)が可能となっています。この機能を利用して、日本では上場されていないMATICやRONなどの仮想通貨に交換することもできます。海外の仮想通貨取引所で口座開設をして仮想通貨の交換をするよりも、手軽に手に入れることができます。
スワップ可能な仮想通貨は日々変更されているため、メタマスクを入手後に確認すると良いでしょう。また、仮想通貨の種類によってはスワップできない場合もあるため、必ず欲しい仮想通貨への交換ができるのかを確かめることも大切です。
②メタマスクでハッキングが起こる原因
次に、メタマスクでハッキングが起こる原因について解説します。
2-1. ウォレットの複製による不正送金
秘密鍵が第三者に知られるとウォレットの複製ができてしまいます。そうなれば、ウォレット内の仮想通貨を外部に不正送金される事態が起こりえます。
秘密鍵を狙う手口としては、仮想通貨取引所で個人情報が流出したメールアドレスを辿り、EvernoteやGoogleドキュメントなどのクラウドサービスにハッキングを試み、そこから秘密鍵を盗み取るという手法などがあります。
こうした事態を防ぐためにも、秘密鍵は手書きで紙に書いて保管してクラウドサービス上に秘密鍵を置かないこと、あるいはオンライン上に置く場合には必ずパスワードをつけたファイルで保管することなどが重要です。また、パスワードを使いまわさないことも重要な予防法です。
2-2. 無線LANを利用した資金の抜き取り
メタマスクはホットウォレットと呼ばれる、インターネットに接続するオンラインタイプの仮想通貨ウォレットです。そのため、空港や飲食店などの共有で使用できる無線LANを使った場合、そこからパソコンに侵入され、自身のメタマスクにアクセスされてしまう可能性があります。
メタマスクは起動時にパスワードを入力することになっており、そのパスワードを破らないと起動できませんが、不正傍受などでパスワードを知り、勝手に起動されて資金を抜き取られてしまうという事態も発生しています。こうしたリスクを予防するためにも、こうした公共の場ではメタマスクとブラウザの接続を切っておくことが必要です。
2-3. フィッシングメール
フィッシング攻撃は、攻撃者が偽物のウェブサイトなどを通して個人情報を盗み取る攻撃です。攻撃者がなりすましメールをターゲットに送り、リンク先で重要な情報を登録させ、盗み出すというのが常套手段です。最近では、メタマスク上でユーザーの資金を引き出すスマートコントラクトにサイン(署名)させる手口が出てきており、Openseaのユーザー32名のウォレットから、約3億円相当のNFTが引き出されました。
2-4. メタマスクを利用する際の注意点
最後にメタマスクを利用する際の注意点を下記にまとめます。
- 秘密鍵は手書きで紙に書いて保管するなど、オフライン上で管理する。
- 秘密鍵をグーグルドライブなどのクラウド上で保管しない。
- メタマスクを無料の公衆無線LANで使わない。
- メタマスク使用後は、その都度、ログアウトする。
- フィッシングメールなどで秘密鍵を入力しない。
- 怪しいサイト(リンク)にメタマスクを接続しない。
③まとめ
メタマスクはイーサリアムのブロックチェーンと連動したサービスの決済に利用したり、ブロックチェーンゲームなどと連携させることができるなど、使い勝手が良く便利なサービスです。しかし、いつハッキング攻撃を受けるか分からないというリスクも伴います。
一般的に、仮想通貨取引所では、送金時に二段階認証やメール認証などのセキュリティ対策が行われていますが、メタマスクには二段階認証が存在しません。そのため、ウォレット保有者は送金させられたことにすぐ気付くことが難しくなっていることも、メタマスクからの不正流出を防げない理由の一端を担っています。実際にメタマスク関連のハッキング事件は何件も報告されており、より一層注意が必要となっています。
大切な資産を守るためにも、利用の際はその危険性を十分に理解し、細心の注意と厳重な管理を行うようにしましょう。
- 高機能取引ツールが利用できる仮想通貨取引所・販売所
- 取引手数料が安価な仮想通貨取引所5選
- 少額投資に適した仮想通貨取引所・販売所5選
- 投資初心者がビットコインをかんたんに購入できる仮想通貨取引所・販売所6選
中島 翔
最新記事 by 中島 翔 (全て見る)
- 脱炭素に向けた補助金制度ー東京都・大阪府・千葉県の事例 - 2024年10月22日
- 韓国のカーボンニュートラル政策を解説 2050年に向けた取り組みとは? - 2024年10月7日
- NCCXの特徴と利用方法|ジャスミーが手掛けるカーボンクレジット取引所とは? - 2024年10月4日
- Xpansiv(エクスパンシブ)とは?世界最大の環境価値取引所の特徴と最新動向 - 2024年9月27日
- VCMIが発表したScope 3 Flexibility Claimとは?柔軟なカーボンクレジット活用法を解説 - 2024年9月27日