こんにちは。@マナです。

私が「こうしたら安全じゃないかな」と思って実践している仮想通貨(暗号通貨)やパスワードなどの管理方法をご紹介してみます。

ちなみに、面倒です。私がこれを構築するのに3週間くらいかかってますよ。

パスワード管理

全て異なるパスワードを使う

アカウントに使うメールアドレスは一元化していますが、取引所やウォレットごとに全て異なるパスワードに設定しています。

つまり、取引所を5カ所、ウォレットを10持っていたら、パスワードは15種類ということになりますね。

もしハッカーに1つのアカウントパスワードが破られてしまえば、他の取引所やウォレットが芋づる式に破られてしまうリスクがあるからです。

取引所やウェブウォレットによっては2段階認証(2FA)を無限に入力できるものも沢山ありますので、2段階認証設定をしているからといって安全ではありません。

2FAは6桁の数字だけですから、ブルートフォースアタックでも割と楽に突破されます。さらに2段階認証を突破する方法は既に沢山公開されてますので、ご興味がある人は検索して調べてみてください。

以上の理由から、パスワードは全て異なるものに設定しています。メールアドレスも全部違うものにすればベストですが、面倒過ぎて止めました。

パスワードは40文字・英数記号の混合

私のパスワードは基本的に全て40文字、大小の英字・数字・記号の混合にしています。
例えばこんな感じ→「Ga/jitgQ$S6|94!RrPsC78s*XrB~z/em)!f%Wr5d」です。

これくらいの強度であれば、破られるのに理論上では数百年はかかります。
パスワードを自動で生成してくれるサイトで、最強モードにして使っています。

もし、名前や誕生日が入ったシンプルなパスワード設定にしている人は要注意。
ハッカーのターゲットですよ。単語や名前。数字の羅列を優先的に狙ってハッキングしてくるからです。

2段階認証の対策ついて

スマホを使った2段階認証をされている人が多いと思いますが、このスマホを紛失したり壊してしまった場合の対策も考える必要があります。

選択肢は3つ。

  1. バックアップコードが無い場合、スマホを紛失したら運営側に依頼して2段階認証を解除してもらう
  2. 2台のスマホで2段階認証トークンを獲得しておく
  3. 2段階認証取得QRコードをスクリーンショットして保管しておく

セキュリティが高いのは1番目の方法ですが、スマホを紛失した場合に緊急でログインできなくなるリスクがあります。2台スマホ方式だと空き巣による盗難に遭う可能性もあります。

便利なのはQRコードをスクリーンショットで画像取得して、パスワード付きZIPファイルに保管することです。ですが、これも流出の可能性がゼロとは言えませんので、QRコードの画像保管はケースバイケースの方が良いと考えています。

パスワードはエクセルに記載・Dropboxに保存してBoxcryptorで暗号化

パスワードは全てエクセルに書いておきます。ちなみに、ウォレットの秘密鍵なんかも私は全てエクセルに書いています。
そしてクラウドストレージのDropboxに保存。

そんな大事な情報を書いたファイルをクラウドストレージに置くのは危ないと思われたでしょう?これは”Boxcryptor”で解決することができました。

Boxcryptorでファイルを暗号化する

Boxcryptorは、クラウドストレージの一部のフォルダやファイルを暗号化してしまうツールです。

暗号化ツール

BoxcryptorをインストールしてサインインしたPCじゃないと、ドロップボックス内の暗号化フォルダや暗号化ファイルが開けないという仕組みです。

暗号化は簡単で、Dropbox内のフォルダやファイルを選択して右クリックから「Encrypt」を選択するだけ。

こうすることで、他人のPCから自分のドロップボックスをハッキングアクセスしたとしても、Boxcryptorで暗号化されたフォルダやファイルはダウンロードすることも見ることもできなくなります。(ただし、他人がBoxcryptorをインストールしてログインアカウントをハッキングすれば見られます)

GoogleDriveを利用する場合は有料ですが、Dropboxだけなら1端末なら無料で使えます。2端末であれば年間48ドルかかります。

【関連サイト】Box Cryptor公式サイト

秘密鍵をクラウドに保管するかはご自身の判断になります。心配であれば、次にご紹介するセキュリティ付フラッシュメモリだけへの保管が良いと思います。

※Dropboxも2段階認証設定が可能ですので、やっておくと良いでしょう。

ブラウザにパスワードは保存しない

つい便利で使ってしまう「ブラウザにパスワードを記憶させますか?」。これはNG。

ハッカーがブラウザの情報からパスワードを盗むのはそんなに難しいことではありません。
面倒でも、お金が絡む取引所やウォレットなどのパスワードについては、ブラウザに保存せずにログインする度に入力します。

セキュリティ付USBフラッシュメモリにも同ファイルを保存

クラウドストレージ内のファイルが消失するリスク対策として、パスワードをかけられるセキュリティ付きUSBフラッシュメモリにも同ファイルを保管しています。

コスパが一番良かったのがエレコムさんの商品。1700円くらい。他のものは5000円~1万円超えでした。

PCに接続するとパスワードを求められるフラッシュメモリです。トレンドマイクロのセキュリティが組み込まれていて、ファイルを保存する度にウイルスチェックをしてくれます。

私はこれを3個購入して、1つは自宅に、1つは別の住所に、1つは故障した時の予備として保管。さらに、ファイルはパスワード付きでZIP化させて2重のセキュリティにしています。仕上げはジプロックに入れて防水。

これで仮にUSBフラッシュメモリを盗まれても、パスワードを2回突破する必要があります。盗まれたと分かったら取引所やウォレットのパスワードを変更すればいいだけなので、セキュリティ的には高いのではないでしょうか。

ちなみに、ここで設定しているパスワードは私が記憶できる範囲でのものにしていますが、総文字数は20文字超で英数記号の3種混合です。

【追記】
セキュリティ付USBフラッシュメモリで設定できるパスワードはどこの製品もなぜか16文字まででした。これは仕方ないと思って利用しています。
中に格納しているパスワードをかけたZIPファイルのセキュリティさえしっかりしていれば大丈夫でしょう。

取引所には盗まれてもいいと思う分しか置かない

取引所に大事な資産を置いたままにしないことは鉄則です。これはマウントゴックス取引所での前例があるからです。

大部分の資産を取引所に置いてる人はこんな風に考えていませんか?

「取引所に置くのは危ないって言われてるけど、まだ大丈夫だろう。来月あたりには何とかしよう」

甘いですよ。取引所から突然の声明があるかもしれません。


『弊社のセキュリティが弱い部分を攻撃されて、半分以上の通貨を盗まれてしまいました。ご利用者様にお返しできる原資がありませんので倒産となりました。』



こうなってしまえば、どんなに含み益があった状態でもゼロになってしまいます。取引所は保証してくれませんよ。
取引所に資産を置くということは、常にこういうリスクが高いまま放置しているということです。

もしかしたらこの記事を読んだ1分後にハッキングが起こるかもしれません。ハッカーはあなたが取引所から資産を移動されるのを待ってはくれません。

以上の理由から、1~3日経過したら売るかもしれない通貨でも、私は必ず取引所から避難させて、外部のウェブウォレットやデスクトップクライアントに保存するようにしています。

「まだ大丈夫だろう」「明日までは大丈夫だろう」は、大丈夫ではないのです。

レンディングは遊び程度で

poloniexだとレンディングを利用することができますが、これも99%を撤退しています。今は遊びで買った6300MAIDを回しているだけです。

本音を言えば、私は長期保有型ですからレンディングして放置して利息で儲けたいですよ。ですが、レンディングも取引所保管と同じですから止めることにしました。

ウォレットのバックアップファイルやパスフレーズの保管方法

外部ウォレットはバックアップファイルを生成できたり、パスフレーズでリカバリーするタイプがほとんどですよね。

これらのファイルや情報は、全て複数のデジタルデータに変換して、ZIP化してパスワードをかけて、ロック付きUSBフラッシュメモリに保存しています。

このファイルは資産の要になりますので、いちおう、クラウド上には置かずに複数の住所に置くようにしています。(BoxCryptor内でも良いとは思っています)
うち、1つは銀行の貸金庫を利用。年間8000円くらいで利用できますから、仮想通貨の含み益を考えれば安いものです。

ファイルやウォレットが増える度に、自宅に保管してある保存媒体と貸金庫に保管してある保存媒体を交換しています。面倒くさいですけど、こればっかりは仕方ありませんね。

紙に印刷はしない

ちなみにパスフレーズや秘密鍵はいっさい印刷しません。「紙への印刷が一番安全だ」という意見も分かりますが、これは30kg以上あるような設置型の耐火金庫を持っている人の話ではないでしょうか。

私の家の環境だと、印刷物を盗まれたり火事になってしまえばアウトです。ロックがかけられるUSBフラッシュメモリの方が安全だという判断になりました。


ここまでを一旦まとめておきます。

  • パスワードは40文字英数記号の混合
  • 取引所やウォレットごとにパスワードを違うものに設定する
  • 取引所には盗まれても諦めがつくだけの資産しか置かない
  • パスワードや秘密鍵はエクセルに整理して、Boxcryptorで暗号化したdropboxや、ロック付きUSBフラッシュメモリにパスワードをかけてZIP化して複数住所に保管
  • ウォレットデータ・パスフレーズデータが入ったロック付きフラッシュメモリも複数の住所に保管
  • 保存媒体の故障も考えて予備は必ず準備しておく
  • 紙媒体へは基本的に印刷しない

はー、面倒ですよね。今までこういう手間を銀行側がやってくれてたんだなぁと身に染みています。
大事な資産を自己管理するって大変。そして貸金庫を使っているので、結局は銀行のお世話になっているというオチになりました。

利用している仮想通貨(暗号通貨)ウォレット

最後に利用しているウォレットをご紹介しておきます。

  • NEM・・・Nanowallet
  • リップル(XRP)・・・Gatehub
  • イーサリアム・イーサリアムクラシック・トークン・・・MyEtherWallet
  • GAMEクレジット・・ウェブウォレット・デスクトップクライアント(こちらの記事を参考に)
  • その他・・・全て公式が紹介してるウェブウォレットやデスクトップクライアント
  • ビットコイン、Dash、Zcash、ライトコイン、イーサリアム・トークン・・TREZOR(海外のTREZOR公式サイト
  • イーサリアム、ETC、XRP(予定)・・LedgerNanoS(海外のLedger社公式サイト

Nanowallet

仮想通貨(暗号通貨)の安全管理と保管

出金・入金の処理が早くて便利なNEMのナノウォレット。デスクトップクライアントということになってますが、分かりやすく使いやすい。

保有数が多いので10のアドレスに分散させています。分散する時の手間は面倒でしたが、まだまだ売るつもりが無い長期ホルダーですので分散保管することにしました。

Gatehub

XRPの外部ウォレットは現状だとgatehubしか無いのでしょうか。何かのハードウェアウォレットが対応する予定?という噂らしいので、発売したら即乗換える予定です。

ウェブウォレットは取引所保管よりはマシとはいえ、やっぱり他人の懐に財布を預けておくのは怖い!

→2017年5月19日から、この先でご紹介するLedger Nano S(レジャーナノS)にXRP保管が対応しました。

MyEtherWallet

イーサリアム系のトークンは全てマイ・イーサウォレット+TREOZRに保管してます。
保有通貨が100万円ずつごとに、複数のウォレットを作成して分散保管しています。

ちなみにマイイーサウォレットはトークンも保管できますから、Golem・Augurなども対応しています。

仮想通貨(暗号通貨)の安全管理

↑トークンは1つのアドレスに送信するだけでOK!イーサリアムと別に、トークン残高が表示されます。トークンごとの送受信も簡単なので、実際にやってみた方が早いですよ。

イーサリアムクラシックのウォレット保管

ちなみにイーサリアムクラシックを保管したい場合は、上部メニューバーのドロップダウンメニューを「ETC」に切り替えればOKです。

これらもウェブウォレットの類いですから安心できませんので、ETHとETCは全てハードウェアウォレットのLedgerNanoSに保管しました。イーサリアム上のトークンだけ、MyEtherWalletやTREZORを利用しています。MyEtherWalletはTREZORとの連携もできるので分散保管しています。

【関連記事】
イーサリアムやトークンを保管するMyEherWallet(マイイーサウォレット)の基本的な使い方
TREZORでイーサリアムやトークンを保管する方法

その他

その他の通貨も全てウェブウォレットかデスクトップクライアント保管です。
公式サイトを見れば紹介してますから、それを利用します。やってみれば簡単ですので、脱取引所を目指すのであればチャレンジしてみてはいかがでしょうか。

ちなみにFactom(Factoid)のデスクトップクライアントだけは、どう頑張っても使う事ができませんでした。ブロックチェーンのダウンロードが99.5%くらいで止まってしまって、その後起動しても自動で同期されない現象が多発。

ウェブウォレットも無いうえに、Poloniexの送信機能もよく1日~2日かけてメンテナンスしてますよね。コインチェックさんはずっとメンテナンス中ですし。おそらく、Factomのネットワークに何か問題があるのでしょう。

Factomは将来性があると見込んで大事に保持していたのですが、このような理由から手放すことにしました。取引所保管は私の選択肢には無いのです。

TREZOR(トレザー)

仮想通貨(暗号通貨)の安全な管理と保存

ビットコインはTREZOR保管。おそらくもっとも安全で安心できる保管方法でしょう。仮想通貨(暗号通貨)持ちなら”超”が3つくらい付くほど必須アイテム。

最初はドキドキしながらも使ってみたら超簡単。仮に故障したとしても、新しいTREZORをPCに接続して初回設定時に表示されたパスフレーズを入力すればリカバリーできます。

仮想通貨(暗号通貨)の安全な管理と保管TREZOR

現在はDASHとZCASH、ライトコインにも対応しています。マイイーサウォレットとの連携でイーサリアムやイーサリアムクラシック、トークンにも沢山対応しています。これなら秘密鍵も漏れる心配が無いので、トークン系を沢山持っている人には安全な管理ができます。

また、たまに売り切れて入荷に時間がかかりますので、私は予備として合計2個持っています。
いざ送金・入金しようと思って「TREZOR壊れてる!新品購入しようと思ったら長期品切れ!」となるのが怖いからです。

ちなみに海外のTREZOR公式サイトからも直接購入できます。アマゾンで購入するよりも安いですし、ビットコインで購入できます。
海外公式サイトからの注文方法の解説ページを一応作っておきました)

Ledger Nano S(レジャーナノS)

仮想通貨(暗号通貨)の保管ledgernanoSレジャーナノS

また、2017年5月19日からXRP(リップル)がLedger Nano S(レジャーナノS)の保管に対応しました。

イーサリアムやイーサリアム上のトークンにも既に対応済ですので、XRP・ETH保有者は必須アイテム。XRP対応の発表があったので私も2個購入。しばらく品切れになる可能性が高いでしょう。

GateHubはよくネットワークエラーになるし、2段階認証を設定していても盗難事件が相次いでいます。不安を感じていましたがこれで安心できそうです。

ビットコイン・イーサリアム・イーサリアム上のトークン・イーサリアムクラシック・XRP(リップル)を保管されたいのであれば、TREZORよりこちらのハードウェアウォレットが良いと思います。
(私はビットコインはTREZORに、イーサリアムとXRPはレジャーナノSに分散保管します)



こちらも日本に在庫が無い場合は海外のLedger社公式サイトから購入することができます。1本購入だとアマゾンより高くつきますが、「ダブルパック」を購入すれば1500円ほどお得です。
(これも海外公式サイトからの購入方法の解説ページを作っておいていますのでご参考にどうぞ)

先日海外サイトで4個買い増しました。理由は、1つのハードウェアウォレットに全ての通貨を保管しておくこともリスクがあるからです。秘密鍵が1つ解読されれば全て盗まれてしまいますが、分散しておけば一気に盗まれる可能性は減らすことが出来ます。


以上、私が安全だと思っている仮想通貨(暗号通貨)の保管と管理方法でした。面倒って思われたでしょう?
ですが、ここまでやっておけば盗れたり紛失する心配はかなり低いんじゃないかな、と思っています。

今1番の問題は、家族への引継ぎです。これから頑張って現金化のマニュアルを作成します。

皆さまに安心できる日が訪れますように。

PS;ほかに良い案があったらコメント頂ければ幸いです。

このブログを書いている人

@マナです。貯金1000万円(+475万)で2017年から仮想通貨(暗号通貨)売買を開始。座右の銘「外そう、自分のリミッター」。