|
kazuki.t (OP)
|
 |
May 16, 2018, 11:51:14 PM
Last edit: November 03, 2018, 11:52:44 AM by kazuki.t Merited by Anon11073 (3), tactac (3), hakka (1), sncc (1) |
|
仮想通貨の世界では、自分の身は自分で守らなくてはなりません。
一方で、攻撃者による攻撃は高度になり続けています。全員が少しずつ気を付ければ、被害を回避したり緩和したりできるはずです。そんな想いでスレッドを立ち上げました。
各種の事例を報告しつつ、可能な範囲でインシデントをユーザー側からの視点で確認し、ユーザーがどんなことに気を付ければいいか、というところに重点を置きます。足りない情報や最新事例などお持ちの方はぜひお寄せください。ご指摘も歓迎です。
以下、一般的な内容ではありますが参考にしてください。
* ひとつの取引所に多くのトークンを置かない
事例: MtGox, CoinCheck のような取引所からの盗難
* 利用するサービスのパスワードは強固なものにする
- 使い回さない(Lastpass, 1password 等の利用、文字列を分割して「よく使う文字列+α」でαはメモ帳に書くとか)
- 辞書にあるような文字列の並びは避け、組み合わせる場合もできれば 3つ以上にする
- gmail だとプラスでメールアドレスを変えられるので、ID も都度変えてもいいかもしれません
* セキュリティ機能は必ず設定する
- Metamask など、開発者チームが推奨する対策は必ず実施する
- MFA を設定し、そのバックアップも取ること(複数端末でスキャン、バックアップ用文字列を紙に手書き等)
- セキュリティ機能が十分でないサービスは、そもそも使うべきではありません。
* 扱う機器にも注意を。
- 不必要なものはインストールしない。特にブラウザアドオンやスマホアプリは、インストールユーザ数やレビューも確認します。一方で、過信しすぎてはいけません
- Windows Updateなど OS のアップデートは放置せず適用すること ※まれに起動しなくなるバグとかあるので諸刃の剣ですが。
- 自宅内のDNSはセキュリティ特化型のもの(Neustar UltraRecursive等)とか使うと良いかもしれません
* 秘密鍵はオフラインに
- 資金があればハードウェアウォレット、難しければ USBメモリ等。可能ならば紙への印刷。喪失に備えてバックアップも。
* 情報は裏を取る
- エアドロップやICOのお知らせ等、メールやDMで得た情報をうのみにせず、必ずウェブサイトやホワイトペーパーなど一次情報に当たるようにしましょう。
- Google検索から取引所に飛んでませんか?URLは間違いありませんか?証明書エラーは出てませんか?
- 「支払いが必要」、「秘密鍵を入力してください」などは99%詐欺です。不安に思ったらSNSや検索で他の人が同じことをやっているか確認します
- 電話や SNS で気軽に仮想通貨のことを話していませんか?自分から情報を垂れ流していることを自覚してセーブしましょう。
* もし SCAM(詐欺)や攻撃に遭った場合も、まずは被害を見極める
- 被害者を狙った詐欺もあります。冷静になり、ダメージコントロールに努めましょう
|
|
|
|
|
|
kazuki.t (OP)
|
|
May 16, 2018, 11:57:58 PM |
|
最初は事例ベースでまとめようかと思ったのですが、調べるとあまりにも多くの例が見つかったので断念しました。
今のところ一般的な観点にとどめ、まとめてみました。追記や指摘は大歓迎です。(もしスレッドが重複していたらご容赦ください)
|
|
|
|
|
|
|
hakka
Full Member
 Offline
Activity: 714
Merit: 158
To live is to think
|
|
May 20, 2018, 01:47:26 PM |
|
週ごとにまとめて頂くと確かに振り返りやすくていいですね。 セキュリティ関係は最近のトレンドでもありますし  今週についてはBitcoinGoldも攻撃を受けたようでPOW界隈が大騒ぎですね。 私も簡単に経緯について次のスレ( 暗号通貨のニュース・規制情報スレ)で以下の通りまとめました。 (このスレの趣旨的に、以下のレベルのセキュリティ関係の情報は今後こちらに投稿しても大丈夫でしょうか?)。 |
|
|
|
|
kazuki.t (OP)
|
|
May 20, 2018, 03:06:38 PM |
|
週ごとにまとめて頂くと確かに振り返りやすくていいですね。 セキュリティ関係は最近のトレンドでもありますし 今週についてはBitcoinGoldも攻撃を受けたようでPOW界隈が大騒ぎですね。 私も簡単に経緯について次のスレ( 暗号通貨のニュース・規制情報スレ)で以下の通りまとめました。 (このスレの趣旨的に、以下のレベルのセキュリティ関係の情報は今後こちらに投稿しても大丈夫でしょうか?)。 hakkaさん、ありがとうございます!はい、セキュリティ周りの情報は、こちらに投稿あるいは転記いただけると良いと思います。 個人的に一週間で騒ぎになったニュースを振り返ってみようと思い、簡単に、記事を探してまとめてみた次第です。あとからタイムラインを追える、というメリットはあるかもしれません。 モナコインの件は、PoW系のコインにとっては本質的に回避しえない問題ですが、承認回数が長ければ長いほど取引できるようになるまでのタイムラグが発生するわけで、難しいですね。 動かした金額(価値)に応じて承認回数を変える、などの対策が本質的にはうまくいきそうな気もしますが、各取引所はそこまで賢い仕組みは実装できていない、というのが現状でしょうか。 |
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 22, 2018, 03:56:49 PM |
|
twitterで拡散されていましたがwavesのウォレットに勝手にコインを送りつけて
フィッシングサイトに誘導する詐欺があったようですね。
手口としてはhttp://やhttps://で始まる名前のトークンを送り付け
そのトークンの名前のURLにアクセスすると、そこから自動的にwaves clientや
waves light clientのアカウント復元画面にそっくりのページにとび、そこでseedを打ち込ませる、という手法だそうです。
自分のwaves clientには幸い送られてきていませんでしたが、
身に覚えのないコインが送られてきた際には、当たり前のことですが注意が必要ですね。
|
|
|
|
popomaru
Member
Offline
Activity: 300
Merit: 10
|
|
May 23, 2018, 11:19:55 PM |
|
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
|
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 24, 2018, 05:11:38 AM |
|
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
Airdropに参加するにも、やはり皆がリテラシーを身を高めることは必要ですね。 そういう意味でもこういった、セキュリティ関係をまとめてくださっているスレッドは有意義だと感じます。 |
|
|
|
HBV
Newbie
Offline
Activity: 26
Merit: 4
|
|
May 24, 2018, 04:38:26 PM |
|
今回のHBウォレットの件に関しては…どう対策すべきですかねぇ…
いつ何時でも出金できるようETHを常備しておくとか、その際焦ってセルフGOXしないとか…
最終的にはソフトウォレットではなくハードウォレットを使用するというところに行き着くとは思いますが、あるいはソフトウォレットはエアドロップ用の不安定な金庫であると認識して、こういうこともあると覚悟しておく心構えとかですかね。
|
|
|
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 30, 2018, 04:44:15 PM |
|
MEW公式を装ったメールでsupport@myethervvallet~~~のアドレスから 「プライバシーポリシーがアップデートされ新しいアドレスが生成されたので そちらに資金を移動してください。」というメールが来るフィッシング詐欺案件があるようですね。ご注意を。 https://twitter.com/myetherwallet/status/1001540981978644480先ほどzaifからも取引所の名前を騙ったフィッシング詐欺が流行している旨の注意喚起のメールが届きましたし この界隈毎日何かしらの詐欺案件が横行しているような。。。  |
|
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 06, 2018, 02:15:55 PM |
|
|
|
|
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 11, 2018, 02:39:12 PM |
|
EOSの事例に続き、別の ICO ですが公式のメールアドレスが攻撃を受けた模様です。先ほど怪しいメールが来ました。 このように、公式からのメールであっても信用ならないので、注意しましょう。こんな分かりやすいものばかりじゃありませんので。  |
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
June 13, 2018, 01:56:37 AM
Last edit: June 13, 2018, 02:25:47 AM by hakka |
|
Memberへの昇進おめでとうございます  次の引用はICOのトークン保管方法に問題があったために、ICO側がハッキングをされ、資金の大半を失ってしまった例です。 プロジェクトに資金が必要だからこそ集めたのは当然であるため、今後全うに開発等されていくか心配ですね。 この事例からは、個人レベルでセキュリティに気を付けるのは当然ですが、 ICOに参加する場合、運営側がトークンを適切に保管しているか問い合わせる事も効果的かと思われました(自分の利益に関する他者への配慮という意味合いで。)。 悲惨ですね  管理の方法に問題があったのか、狙われたらどうしようもないのか、気になるところです。 自分が参加したICOも同じ被害に遭う可能性があるかと思うと怖いですね。 Taylorの事件の詳細が出ましたが、ウォレットのパスワードを管理していたPCがハッキングを受けて資金を盗まれた、との事でした。 狙った側が悪いのは当然ですが、ハッキングを受けてしまう環境に保管していたTaylor側にも責任があると思います。 ICO終了前にそこまで予見するのは難しいですが、コールドウォレットで保管している等、資金の管理に関してホワイトペーパーに書かれていたらより安心かもしれませんね。 Taylorの続報が出ました。資金のほぼ全て+Taylorトークンも盗まれてしまっているので、トークンは新トークンへのスワップで対応。開発資金に関しては、運営側が保有しているトークンの一部を新たなトークンセールにて販売する様です。その際に集める額は、ベータ版開発までに必要な最小金額にとどめるとの事です。ロードマップは初期の予定より大幅に遅れてしまっていますが、運営が逃げずに開発を続ける姿勢を見せているところは評価できるかと思います。 --> https://medium.com/smarttaylor/taylor-phoenix-rising-from-the-ashes-743bab57545e |
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 14, 2018, 08:54:39 AM |
|
|
|
|
|
|
|
