ダメよ、ハードウェアウォレットは海外直接か公式代理店から購入してね

@マナです。

改めて再度アナウンスしておきますが、ハードウェアウォレットは海外直接か公式代理店から購入しましょうね。

間違ってもヤフオクとかで買っちゃダメ。

2017年以降は仮想通貨市場が盛り上がってハードウェアウォレットの利用者が増えたこともあって、次々に脆弱性が見つかっています。

怖い例をお見せしましょう。

LedgerNanoSのファームウェアが第三者に書き換えられる

LedgerNanoSの初期セットアップ時、「新しいデバイスか？」と聞かれて右側のボタンを押します。
その後、ハードウェアウォレットでは超大事な24単語のリカバリーフレーズが表示されるわけですが・・・、

１語目「abandon」。

２語目「abandon」。

３語目「abandon」。

４語目「abandon」・・・。

５語目「abandon」・・・( ﾟДﾟ)

あれれれれ？？？これは一体？？？

結局23語目までリカバリーフレーズは「abandon」が続ぎ、

24語目で「art」、終了。

いやいや、これおかしいでしょ。
２４語語中、稀に同じ単語が２つ表示されることもありますが、２３語も同じリカバリーフレーズが表示されるとはいったいどういうことなのか？

種明かし

この異常な現象、実は第三者がLedgerNanoSのファームウェアをオリジナルのものに再プログラムしていたのです。

しかもこのプログラムでは、リカバリーフレーズを自分の意図したものに表示させることができるらしい。やばすぎでしょこれ・・。

もし自分の手元に届くまで悪意の第三者がファームウェアを書き換えていたら？

もしあなたが公式直接や正規代理店から購入していない場合、運が悪ければ悪意の第三者がファームウェアを書き換えてしまっている可能性が高くなるってことですな。

悪意の第三者はハードウェアウォレットのコピーを簡単に作れてしまうわけだ。何も知らずにリカバリーシードをメモして、その中に多額の資産を保管していたら、あっという間に盗まれてしまう。

最近はメルカリがハードウェアウォレットの出品措置を禁止してくれましたが、ヤフオクでは何と・・・

普通に出品されまくっているうえに、チラホラと入札者もいらっしゃる。
入札している人がどこの誰かは存じ上げませぬが、被害が無い事も祈ります・・・。

ハードウェアウォレットの被害に遭わない為に

ということで、最後にハードウェアウォレットの被害に遭わない為の対策編。
気を付ける事は主にこの５つ！

1. ハードウェアウォレットを購入したら、すぐにファームウェアアップデートを行う
2. ハードウェアウォレットの管理・操作はできるだけ専用PCで行う
3. 海外公式か、正規代理店で購入する
4. ヤフオクで買わない
5. 送金前にPCに表示されている送金アドレスと、端末に表示されている送金アドレスが同じか確認すること！

 

メーカーのファームウェアアップデートは、発見された脆弱部分を対策する為の場合もあります。
あと、管理や操作はできるだけ専用PCで行う事。マルウェアやウイルスが仕込まれたPCでハードウェアウォレットを操作した結果、送金先のアドレスが書き換えられる事例もあります。

購入先は海外公式か正規代理店で！もうこれは必須ですね。
TREZORならsatoshi lab直接。LedgerNanoSならLedger社から直接か、正規代理店の株式会社Earthshipさんです。

・TREZORを海外公式サイトで直接注文する方法
・Ledger Nano S海外公式サイトからの購入方法
 
ヤフオクで買ったものを使う場合は、仮想通貨を盗まれる覚悟をして使ってください。

以上、気を付けてください。ではでは。

このブログを書いている人