こんにちは。@マナです。

私が「こうしたら安全じゃないかな」と思って実践している仮想通貨(暗号通貨)やパスワードなどの管理方法をご紹介します。

すごく面倒で大変です。時間もかかります。私がこれを構築するのに3週間くらいかかっていますが、ハッキングリスクは低くなると思います。

※この記事の初稿は2017年5月6日です。2018年1月27日に改訂しました。

ログインIDに使うメールアドレスについて

独自ドメイン由来のメールアドレスを利用する

「仮想通貨取引所のログインID=メールアドレス」になっている取引所が多いので、Gメールなどのメジャーなアドレスはなるべく利用しません。

なぜなら、@(アットマーク)以下の「@gmail.com」まで分かっていれば、不正ログインを試みる人は@以前の文字列を解読するだけで済んでしまうからです。

ですので、レンタルサーバーと独自ドメインを契約して、自分でも意味が不明なメールアドレスを作成します。安いプランだと年間コストは2000円以内で済みます。これでメールアドレスは20個~無限に作成できます。



【例】zaif-fhjjehfhds_001@tekitounadomaindesukarane.com


出金するためにメール認証をする海外取引所もありますが、Gメールの場合はハッキングされればアウトです。
独自ドメイン由来のメールアドレスを利用することで、メールアカウントのハッキングも防ぐことが出来ます。

【関連記事】仮想通貨取引所アカウントは独自ドメイン由来のメールアドレスも良い

Gメールなどを使う場合

もしGメールなどを使う場合は、他人に推測されにくく長い文字配列にすることです。
例えば、「shindou1106@gmail~~」などはNG。「skferoiklfkvkfa45622185@gmail.com」は良し。
ユーザー名は最大30文字までです。記号はピリオドのみ利用可能。

また、グーグルアカウントの2段階認証設定も必須です。

1取引所につき1メールアドレス

また、1取引所につき1メールアドレスは必須です。

他の取引所や普段利用しているメールアドレスの使いまわしはしません。普段使っているメールアドレスの情報は必ず流出しているからです。

パスワード管理方法

全て異なるパスワードを使う

仮想通貨取引所やウォレットごとに全て異なるパスワードに設定します。

つまり、取引所を5カ所、ウォレットを10持っていたら、パスワードは15種類ということになります。

もしハッカーに1つのアカウントパスワードが破られてしまえば、他の取引所やウォレットが芋づる式に破られてしまうリスクがあるからです。

取引所やウェブウォレットによっては2段階認証(2FA)を無限に入力できるものも沢山ありますので、2段階認証設定をしているからといって安全ではありません。

2FAは6桁の数字だけですから、ブルートフォースアタックでも突破される可能性があります。さらに2段階認証を突破する方法は既に沢山公開されてます。ご興味がある人は検索して調べてみてください。

以上の理由から、パスワードは全て異なるものに設定しています。

パスワードは40文字以上・英数記号の混合

私のパスワードは基本的に全て40文字、大小の英字・数字・記号の混合にしています。
例えばこんな感じ→「Ga/jitgQ$S6|94!RrPsC78s*XrB~z/em)!f%Wr5d

これくらいの強度であれば、パスワードを破られるのに理論上では数百年はかかります。
パスワードを自動で生成してくれるサイトで、最強モードにして使っています。

なお、取引所やウォレットによっては32文字以内、20文字以内の仕様になっています。記号を使えない取引所の場合は、ハッキングされるリスクが高いと思って覚悟して利用するべきです。

もし、名前や誕生日が入ったシンプルなパスワード設定にしている人は要注意。
ハッカーのターゲットですよ。単語や名前。数字の羅列を優先的に狙ってハッキングしてくるからです。

ブラウザにパスワードは保存しない

つい便利で使ってしまう「ブラウザにパスワードを記憶させますか?」。これはNG。

ハッカーがブラウザの情報からパスワードを盗むのはそんなに難しいことではありません。
面倒でも、お金が絡む取引所やウォレットなどのパスワードについては、ブラウザに保存せずにログインする度に入力します。

2段階認証の対策やバックアップついて

スマホを使った2段階認証をされている人が多いと思いますが、このスマホを紛失したり壊してしまった場合の対策も考える必要があります。

選択肢は3つ。


  1. バックアップコードが無い場合、スマホを紛失したら運営側に依頼して2段階認証を解除してもらう
  2. 2台のスマホで2段階認証トークンを獲得しておく
  3. 2段階認証取得QRコードをスクリーンショットして保管しておく

 
セキュリティが高いのは1番目の方法ですが、スマホを紛失した場合に緊急でログインできなくなるリスクがあります。2台スマホ方式だと空き巣による盗難に遭う可能性もあります。

便利なのはQRコードをスクリーンショットで画像取得して、パスワード付きZIPファイルに保管することです。ですが、これも流出の可能性がゼロとは言えませんので、QRコードの画像保管はケースバイケースの方が良いと考えています。

いずれにせよ、バックアップ用のQRコードや2FA端末は、カギやパスワードをかけて管理するべきです。

パスワードはエクセルに記載・Dropboxに保存してBoxcryptorで暗号化

パスワードは全てエクセルに書いておきます。そしてクラウドストレージのDropboxに保存します。

そんな大事な情報を書いたファイルをクラウドストレージに置くのは危ないと思われたでしょう?これは”Boxcryptor”で解決することができました。

Boxcryptorでファイルを暗号化する

Boxcryptorは、クラウドストレージの一部のフォルダやファイルを暗号化してしまうツールです。

暗号化ツール

BoxcryptorをインストールしてサインインしたPCじゃないと、ドロップボックス内の暗号化フォルダや暗号化ファイルが開けないという仕組みです。

暗号化は簡単で、Dropbox内のフォルダやファイルを選択して右クリックから「Encrypt」を選択するだけ。

こうすることで、他人のPCから自分のドロップボックスをハッキングアクセスしたとしても、Boxcryptorで暗号化されたフォルダやファイルはダウンロードや閲覧することもできなくなります。(ただし、他人がBoxcryptorをインストールしてログインアカウントをハッキングすれば見られてしまいます)

GoogleDriveを利用する場合は有料ですが、Dropboxだけなら1端末なら無料で使えます。2端末であれば年間48ドルかかります。

【関連サイト】Box Cryptor公式サイト

パスワード情報や秘密鍵をクラウドに保管するかはご自身の判断になります。大事な情報をクラウド上にアップロードするのは悩みましたが、利便性を考えたうえでの決断です。

心配であれば、次にご紹介するセキュリティ付フラッシュメモリや、外部ハードディスクに鍵をかけるなどの保管が良いと思います。

※Dropboxも2段階認証設定が可能ですので、やっておくと良いでしょう。

ウォレットの秘密鍵の管理方法

秘密鍵(暗号鍵・secret key・private key)とは

ウォレット・ハードウェアウォレットで最も重要なのは「秘密鍵(暗号鍵・secret key・private key)」の管理です。
秘密鍵は数10文字列で構成されていたり、スマホのウォレットやハードウェアウォレットだと単語の組み合わせになっているものが多いです。

この鍵情報は、そのウォレットに保管されている仮想通貨資産の存在を証明するものになります。つまり、秘密鍵の情報さえ紛失しなければ、ウォレットが壊れても他の端末で資産を復元することが出来ます。

その代わり、第三者が秘密鍵の情報を入手してしまえば、ウォレット内の資産にアクセスされて盗まれてしまいます。

つまり、仮想通貨(暗号通貨)を管理するうえで、あなたの資産に最も大きく関わっているものです。

秘密鍵をどこに保管するか

秘密鍵をどこに保管すれば一番安全かは人それぞれの環境によって変わりますので、例を挙げておきます。

秘密鍵の保管方法

  1. 紙に印刷して、持ち出し不可の大型耐火金庫や銀行などの貸金庫に保管する
  2. デジタルデータにして、フォルダに格納後、パスワード付きZIPファイルにして保管
  3. 上記方法で作成したものを複数住所に保管する

 
1つの住所だけに保管しておくと、仮に火事になった場合に秘密鍵を紛失してしまいます。ですので、複数住所に保管しておくことは必須となります。

セキュリティ付USBフラッシュメモリも役立つ

クラウドストレージ内のファイルが消失するリスク対策として、パスワードをかけられるセキュリティ付きUSBフラッシュメモリにも同ファイルを保管しています。

コスパが一番良かったのがエレコムさんの商品。1700円くらい。他のものは5000円~1万円超えでした。

PCに接続するとパスワードを求められるフラッシュメモリです。トレンドマイクロのセキュリティが組み込まれていて、ファイルを保存する度にウイルスチェックをしてくれます。

私はこれを3個購入して、1つは自宅に、1つは別の住所に、1つは故障した時の予備として保管。さらに、ファイルはパスワード付きでZIP化させて2重のセキュリティにしています。仕上げはジプロックに入れて防水。

これで仮にUSBフラッシュメモリを盗まれても、パスワードを2回突破する必要があります。盗まれたと分かったら取引所やウォレットのパスワードを変更すればいいだけなので、セキュリティ的には高いのではないでしょうか。

ちなみに、ここで設定しているパスワードは私が記憶できる範囲でのものにしていますが、総文字数は20文字超で英数記号の3種混合です。

【追記】
セキュリティ付USBフラッシュメモリで設定できるパスワードはどこの製品もなぜか16文字まででした。これは仕方ないと思って利用しています。
中に格納しているパスワードをかけたZIPファイルのセキュリティさえしっかりしていれば大丈夫でしょう。

また、USBフラッシュメモリはPCに挿しこんで通電せずに放置していると、5年~10年でデータが消えることもあるそうです。年に1度は通電する事をお勧めします。

仮想通貨取引所には盗まれてもいいと思う分しか置かない

私がこのブログ開設した時からずっと言い続けていることですが、仮想通貨取引所に大事な資産を置いたままにしないことは鉄則です。これはマウントゴックス取引所での前例があるからです。

大部分の資産を取引所に置いてる人はこんな風に考えていませんか?

「取引所に置くのは危ないって言われてるけど、まだ大丈夫だろう。来月あたりには何とかしよう」

甘いですよ。取引所から突然の声明があるかもしれません。


『弊社のセキュリティが弱い部分を攻撃されて、半分以上の通貨を盗まれてしまいました。ご利用者様にお返しできる原資がありませんので倒産となりました。』



こうなってしまえば、どんなに含み益があった状態でもゼロになってしまいます。取引所は保証してくれません。補償する体制が無いまま営業しているからです。口座開設の規約にも補償するとは書かれていません。

つまり、取引所に資産を置くということは、仮想通貨資産を失うリスクが高いまま放置しているということです。

もしかしたらこの記事を読んだ1分後にハッキングが起こるかもしれません。ハッカーはあなたが取引所から資産を移動されるのを待ってはくれません。

以上の理由から、1~3日経過したら売るかもしれない通貨でも、私は必ず取引所から避難させて、外部のウェブウォレットやデスクトップクライアントに保管するようにしています。面倒ですが、これで倒産損失リスクは大きく下げることができます。

「まだ大丈夫だろう」「明日までは大丈夫だろう」は、大丈夫ではないのです。

【追記】
※2018年1月26日、コインチェック社がハッキングに遭い5億XEM(約620億円分)が盗まれてしまいました。この段落部分は「取引所に保管するリスクを理解して欲しい」という想いから2017年5月6日に書いたものです。

1つのウォレットに全ての資産を入れない

1つのウォレットに全資産を預け入れることもリスキーです。

例えばNEMのNanoWalletの場合でも、仮に30万XEMを保有しているのであれば、5万~10万XEMずつ複数のアカウントに保管する方が良いと思います。

スマホのウォレットにも大金は入れない

スマートフォンにもウォレットをインストールして仮想通貨資産を入れておけますが、大金は絶対に入れません。端末を盗難されたら失ってしまうリスクが高まります。

つまり、取引所のアプリも基本的にはインストールしません。インストールして利用する場合は、失っても良い金額だけにしておきます。

レンディングは遊び程度で

仮想通貨取引所によってはレンディング(貸仮想通貨)を利用して利息を得ることができますが、私はこれも利用していません。

本音を言えば、私は長期保有型ですからレンディングして放置して利息で儲けたいですよ。ですが、レンディングも取引所保管と同じですから止めることにしました。

外出先のWiFiは使わない

これも大事なことですが、外出先のWiFiを使って仮想通貨資産を触る行為は行ってはいけません。

フリーWiFiだと情報が筒抜けになっている事が多く、これを利用したが為に秘密鍵、ログインIDやパスワードを盗まれて、仮想通貨資産を失った人が実際にいます。

外出先ではスマホのテザリング回線を使うようにしてください。

一旦まとめておきます

ここまでを一旦まとめておきます。

  • Gメールなどのメジャーなメールアドレスを使わず、独自ドメイン由来の複雑な文字列のアドレスを利用する
  • パスワードは40文字英数記号の混合
  • 取引所やウォレットごとにメールアドレスとパスワードを違うものに設定する
  • 取引所には盗まれても諦めがつくだけの資産しか置かない
  • パスワードや秘密鍵はエクセルに整理して、Boxcryptorで暗号化したdropboxや、ロック付きUSBフラッシュメモリにパスワードをかけてZIP化して複数住所に保管
  • ウォレットデータ・パスフレーズデータが入ったロック付きフラッシュメモリも複数の住所に保管
  • 保存媒体の故障も考えて予備は必ず準備しておく
  • 1つのウォレットに全資産を預け入れず分散保管する
  • 外出先のWiFiを使って仮想通貨資産を触らない

面倒ですよね。今までこういう手間を銀行側がやってくれてたんだなぁと身に染みています。
大事な資産を自己管理するのはとても大変です。そして貸金庫を使うことになるでしょうから、結局は銀行のお世話になっているというオチになりました。

利用している仮想通貨(暗号通貨)ウォレット

最後に利用しているウォレットをご紹介しておきます。

  • BTC、BCH、Dash、Zcash、ETH、LTC、NEM、MONA・その他ETH上トークン・・海外公式から購入したTREZOR公式サイト
  • NEM・・・Nanowallet
  • リップル(XRP)・・・Ledger社公式サイト(海外から直接購入)
  • イーサリアム・ETC・ETH上トークン・・・MyEtherWallet
  • その他・・・全て公式が紹介してるウェブウォレットやデスクトップクライアント

Nanowallet

仮想通貨(暗号通貨)の安全管理と保管

NEMホルダーにとっては必須でしょう。

Gatehub

リップルのXRPのウェブウォレットはGatehubは有名で利用者も多いのですが、2段階認証を突破されて盗難された人を二人知って以来、私は利用をお勧めしていません。

秘密鍵情報が隠されているハードウェアウォレットのLedgerNanoSがXRP保管に対応していますので、こちらを利用するようになりました。

これも海外のLedger社公式サイトから直接購入します。
後述しますが、アマゾンなどで出品されているものは身元不明・個人の中国業者であることが多いからです。購入してみたら、開封隅でケースをビニールテープで巻かれていた、という人もいます。

【関連記事】LedgerNanoSはアマゾンで購入しない方が良い理由

MyEtherWallet

イーサリアム系のトークンは全てマイ・イーサウォレット+TREOZRかLedgerNanoSで分散保管してます。

ちなみにマイイーサウォレットはトークンも保管できますから、Augurなども対応しています。

イーサリアムクラシックのウォレット保管

ちなみにイーサリアムクラシックを保管したい場合は、上部メニューバーのドロップダウンメニューを「ETC」に切り替えればOKです。

これらもウェブウォレットの類いですから安心できませんので、ETHとETCは全てハードウェアウォレットのLedgerNanoSに保管しました。イーサリアム上のトークンだけ、MyEtherWalletやTREZORを利用しています。MyEtherWalletはTREZORとの連携もできるので分散保管しています。

【関連記事】
イーサリアムやトークンを保管するMyEherWallet(マイイーサウォレット)の基本的な使い方
TREZORでイーサリアムやトークンを保管する方法
LedgerNanoSとMyEtherWalletを連携・管理する方法

その他

その他の通貨も全てハードウェアウォレットかデスクトップクライアント、プロジェクト公式が紹介しているウォレットの保管です。

よく分からないサードパーティが作ったウォレットは基本的に使いません。
また、スマートフォンにインストールできるウォレットも使いません。発行者をよく調べずに使ったところ、資産を全て奪われてしまった例があります。

TREZOR(トレザー)

仮想通貨(暗号通貨)の安全な管理と保存

ビットコインはTREZOR保管。おそらくもっとも安全で安心できる保管方法でしょう。仮想通貨(暗号通貨)持ちなら”超”が3つくらい付くほど必須アイテムです。

最初はドキドキしながらも使ってみたら簡単です。仮に故障したとしても、新しいTREZORをPCに接続して初回設定時に表示されたパスフレーズを入力すればリカバリーできます。

仮想通貨(暗号通貨)の安全な管理と保管TREZOR

現在はDASH、ZCASH、LTC、BCH、NEM、MONA、BTGにも対応しています。

マイイーサウォレットとの連携でイーサリアムやイーサリアムクラシック、トークンにも沢山対応しています。これなら秘密鍵も漏れる心配が無いので、トークン系を沢山持っている人には安全な管理ができます。

また、たまに売り切れていて入荷に時間がかかりますので、私は予備も持っています。
いざ送金・入金しようと思って「TREZOR壊れてる!新品購入しようと思ったら長期品切れ!」となるのが怖いからです。

前述した通り、ハードウェアウォレットは全て海外のTREZOR公式サイトから直接購入しました。アマゾンでの購入は出品者の信頼性が低い為、選択肢にはありません。

※(海外公式サイトからの注文方法の解説ページを一応作っておきました)

Ledger Nano S(レジャーナノS)

仮想通貨(暗号通貨)の保管ledgernanoSレジャーナノS
2017年5月19日からXRP(リップル)がLedger Nano S(レジャーナノS)の保管に対応しました。

現在の対応通貨:BTC・BCH・BTG・DASH・DOGE・ETH・ETC・LTC・Stratis・Zcash・XRP(Ripple)・PoSW・Ark・Ubiq・Expanse・PIVX・Stealthcoin・Vertcoin・Viacoin・Neo・Stellar・DGB・Hcash・Qtum・ETH上のトークン

LedgerNanoS1台で4種類の通貨が管理できます。それ以上になると、メモリが不足してしまいます。



こちらも海外のLedger社公式サイトから購入することができます。アマゾンからの購入だと出品者が個人・身元不明なこともあり、お勧めしません。
※(これも海外公式サイトからの購入方法の解説ページを作っておいていますのでご参考にどうぞ)

私は海外サイトで6個買っています。理由は、分散保管と、故障リスクです。1個しか無いと、いざ故障して品切れだった場合に困るからです。

海外からの購入が不安であれば、日本唯一の正規代理店として株式会社Earthshipさんが認定されています。海外直接より少し割高になりますが、サポートも受けられるのでこちらからの購入も安心できます。

おわりに

以上、私が安全だと思っている仮想通貨(暗号通貨)の保管と管理方法でした。「面倒くさい!」と思われた方も多いのではないでしょうか。

ですが、ここまでやっておけば、大事な仮想通貨資産が盗れたり紛失するリスクは低く抑えられるんじゃないかな、と思っています。

管理を面倒にするほど、セキュリティは高まります。逆に、管理を簡単にするほどリスクが高まります。
仮想通貨資産は誰かが守ってくれるものではありません。自分の身で守るしかないのです。

それでも100%安全な管理方法はありませんから、常に管理方法やセキュリティは試行錯誤し続ける必要があると思います。

ご参考頂ければ幸いです。

このブログを書いている人

@マナです。貯金1000万円(+475万)で2017年から仮想通貨(暗号通貨)売買を開始。座右の銘「外そう、自分のリミッター」。