このスレッドは私がMetaに投稿したスレッド
[Guide] Bitcointalk account security の和訳です。幸いなことに日本語板ではまだBitcointalkアカウントのハッキング被害は出ていないと思われますが、Bitcointalk特有のシステムの難しさや問題点もありますので、アカウントのセキュリティには十分に気をつける必要があります。Bitcointalkアカウントに限らず取引所アカウントのセキュリティなどに応用可能な情報も載せてあります。
注意:アカウント復旧のプロセスがアップデートされました。
[1]
Recovering hacked/lost accounts[2]
Account recoveries are moving againもしアカウントがハッキングされた場合はtheymosの投稿[1]に記載されているメールアドレスにメールを送ってください。
メールアドレスは定期的に更新されるため、上のスレッドを開いて最新のアドレスを確認してください。
Metaではハッキングあるいはロックされたアカウントに関するスレッドが毎日立てられております。初心者だけではなく、Legendaryアカウントも多く含まれています。通常のブルートフォース型のハッキングリスクに加えて、Bicointalkの現在のシステム特有のリスクや、
2015年5月22日のデータ漏洩に起因するリスクも存在します。パスワード変更の際のメールによる本人確認、2段階認証システムの導入、アカウント復旧プロセスの自動化、新しいフォーラムソフトウェアによるより強固なセキュリティなど、フォーラムのセキュリティ面での本質的な改善が望まれます。
このような機能が実装されるまで、我々ができることは、現在のBitcointalkのシステムがどのようなものなのか理解し、どのようにして個々人のアカウントのセキュリティを高めることができるのか、また、万が一アカウントがハッキングやロックをされた場合に何をすべきなのかを学ぶことです。このスレッドではこれらの話題に関して包括的なガイドを提供することを目的として立てられました。このスレッドによりハッキングやロックを受けるアカウントが減ることを願っています。
目次
基礎的事項
1.
https://bitcointalk.org/ をブックマークし、常にブックマークからログインしましょう。bitcointalk.to, thebitcointalk.net などのフィッシングサイトは避けましょう。
2. 他のサイトでは使用しない新しいメールアドレスを登録しましょう。
3. 他のサイトでは使用しない新しいパスワードを登録しましょう。十分な長さで、小文字・大文字・数字・記号を混ぜたパスワードを設定しましょう。
4. パスワードを忘れた時のために秘密の質問とその答えを設定することが可能ですが、Bitcointalkの場合この機能はアカウントのハッキングとロックのリスクを高めることに留意してください。詳しくは下記のTipsと
パスワード・メールアドレスの変更 / パスワードを忘れた場合の項をご覧ください。
5. 信頼できないソフトウェアはダウンロードせず、常にデバイスをマルウェアの脅威から守りましょう。
6. 全てのデバイスとソフトウェアは最新版にアップデートして使いましょう。
7. Bitcoinアドレスをステークしましょう。詳しくは
Bitcoinアドレスのステークの項をご覧ください。
TipsTips for 1: フィッシングサイト- いくつかのフィッシングサイトへのリンクは自動的に[phishing]に置き換えられますが、bitcointalk.to と thebitcointalk.net に対してはこの機能はまだ実装されていません。
こちらの投稿をご参照ください。
- 万が一あなたのアカウント情報をフィッシングサイトに入力してしまった場合はハッキングされる可能性がありますので、直ちに bitcointalk.org にログインしてパスワードを変更しましょう。
- リンクをクリックする前に、実際のリンク先URLを確認しましょう。ブラウザによっては、マウスオーバーによりURLが表示されます。
- リンクをマウスオーバーした際、bitcointalk.org 内のリンクは(アンカーを除いて)緑色に変化しますが、外部サイトへのリンクは青色のままです。この機能によりフィッシングサイトへの偽装リンクを見破ることが可能です。
ホモグラフアタックを利用した偽装リンクの例は以下の通りです。
本物
https://bitcointalk.org/偽装
https://bitcоintalk.org/ (google.comへのリンク)
2番目のリンクは青色のままなので偽装リンクであることを確認できます。
- ホストファイルを編集することで、そのパソコンから特定のフィッシングサイトへアクセス不可能にする方法もあります。より詳しくはLoyceVによる
この投稿をご覧ください。
Tips for 2: メールアドレス - Gmailのエイリアス機能を使えば複数のアドレスを生成することができますが、例えばexample@gmail.comのエイリアスはexample+add@gmail.comの形でaddの部分を選ぶことになるため、オリジナルのアドレスが何であるか分かります。
- 使い捨てメールアドレスであるyopmailは誰でもアクセスできますので避けましょう。
Tips for 3: パスワード- 英単語、誕生日、ペットの名前、電話番号、その他ハッカーが簡単に推測できるもの、
The Worst 25 Passwords of 2017のリストに含まれるものをパスワードに使うことは避けましょう。
- 2015年にパスワードデータが漏洩したため、それ以前からフォーラムを利用しパスワードを変更していない場合は、パスワードの変更が推奨されます。
- ブラウザのオートフィル機能を使っている場合は、その機能がURLごとにパスワードを区別しているのか、あるいは区別なしにパスワードを記憶しているのか、調べておきましょう。もし後者であればその機能は使わないほうがよいでしょう。前者の場合であっても、ブラウザのアップデートに伴い機能が変更される可能性もあるため、常に注意しましょう。
- ログイン時に "Always stay logged in" を選択するとことで、毎回パスワードを入力する必要がなくなります。
- パスワードマネージャーは例えば
The Five Best Password Managersをご覧ください。
- さらなるTipsについてはmapuche33による
この投稿をご覧ください。
Tips for 4: 秘密の質問- 秘密の質問についてはいくつか重要な点があります。
1) メールによる本人確認のステップはありません。そのため、秘密の質問はハッキングやロックのリスクを高める可能性があります。
2) 秘密の質問を用いてパスワードがリセットされた場合、そのアカウントはロックされ、
アカウントのアンロックのプロセスを経なければ復旧できません。もしあなたのアカウントが通常通りあなたの管理下にあるならこのロックの機能は弊害でしかありません。もしあなたのアカウントがハッキングされていた場合にはロックの機能を防衛手段の一つとして使うことが可能ですが、この機能が有効となるのも稀なケースでしょう。なぜならハッカーはアカウントをハックした直後に秘密の質問を編集してしまう可能性が高いですし、また、この機能を使わずとも、ハッカーによるパスワード変更から14日以内であればフォーラムからの通知メールに記載されたリンクからあなたのアカウントをロックすることができるからです。
3) 秘密の質問はいつでも削除することが可能です。SFR10による
この投稿をご参照ください。
Tips for 5: 信頼できないソフトウェア- 信頼できないソフトウェアやアルトコインのウォレットはバーチャルマシン上で利用することも可能です。
パスワード・メールアドレスの変更 / パスワードを忘れた場合
- パスワードは以下の方法で変更できます。
1) プロフィールページ
2) ログイン画面の "Forgot password" リンク
3) 秘密の質問を用いたパスワードリセット。ただし、この場合アカウントはロックされます。
- パスワード変更/リセットが行われた場合、変更履歴がTrustのページに表示されます。1) か 2) の場合は3日間、3) の場合は30日間表示されます。
セキュリティログのページにはいずれの場合も30日間表示されます。
- メールアドレスはプロフィールページから変更可能です。メールアドレスの変更履歴もTrustページに表示されます。
- パスワードかメールアドレスが変更された場合、フォーラムから通知メールが(変更前の)メールアドレスに送信されます。
TipsTips for 2): "Forgot password" オプションの使い方ログイン画面で "Forgot your password?" をクリックします。
ユーザー名かメールアドレスを記入し、 "send" をクリックします。
以下のメールが登録メールアドレスに送信され、リンクからパスワードをリセットできます。
Dear <username>,
This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:
https://<link to password reset>
IP: xxx.xxx.xxx.xxx
Username: <username>
Regards,
The Bitcoin Forum Team.
Tips for 3): "Secret question" オプションの使い方秘密の質問を用いてパスワードがリセットされた場合、そのアカウントはロックされますのでご注意ください。
ログイン画面で "Forgot your password?" をクリックします。
ユーザー名かメールアドレスを記入し、 "Ask me my question" を選択してから "send" をクリックします。
秘密の質問が表示されますので、回答を記入してパスワードを変更します。
メールによる本人確認がないこと、アカウントがロックされることにご注意ください。
(参考:
PSA: ACCOUNTS WILL BE LOCKED IF THE SECRET QUESTION IS USED TO RECOVER IT)
以下のメールが登録メールアドレスに送信されます。
Password reminder
Please enter the answer to your question, and the password you would like to use. Your password will be changed to the one you select provided you answer the question correctly.
Warning: If you answer correctly, your password will be changed, but then your account will then be LOCKED for manual review, since the whole idea of secret questions/answers is inherently insecure. Processing unlocks due to this is one of our lowest priorities, so it could be a long time until you get your account back.
Secret Question: <secret question you set will be displayed here>
Answer: <enter answer>
Choose password: <enter new password>
For best security, you should use six or more characters with a combination of letters, numbers, and symbols.
Verify password:
秘密の質問の機能の欠点は、メールによる本人確認がないためにアカウントがハックされるリスクが増すことと、仮にこの機能が本来の目的に使われたとしてもアカウントがロックされてしまうことです。アカウントロック後はアンロックされるまで待たなければなりません。
秘密の質問を設定せずに "Ask me my question" を選択した場合は以下のエラーメッセージが表示されます。
An Error Has Occurred!
Sorry, there is no secret question set for this member.
Bitcoinアドレスのステーク
Bitcoinアドレスをステークする(貼り付ける)ことはBitcointalkのアカウントの所有権を証明する上で最も有効な手段です。アカウントがハックされた場合、ハッカーはあなたの過去の投稿を編集・削除することが可能ですが、ステークされたアドレスが他のメンバーにより正しく引用されていれば、そのメンバーのアカウントもハックしない限り、編集することはできません。従って、そのアドレスからの署名付きメッセージを利用することで、あなたが本当のアカウント所有者であることが証明できるのです。
1. あなただけがプライベートキーを管理しているBitcoinアドレスから
How to sign a message?! に従って署名付きメッセージを作成します。誰もが確認できるのでレガシーアドレスのほうがよいでしょう。メッセージの例は以下の通りです。
-----BEGIN BITCOIN SIGNED MESSAGE-----
This is <username> at bitcointalk.org. The current date is <date>.
-----BEGIN SIGNATURE-----
<insert Bitcoin address here>
<insert signature here>
-----END BITCOIN SIGNED MESSAGE-----
2. 署名付きメッセージを投稿する前に、
Brainwallet,
Blockexplorer などを使って自分で確認しましょう。
3. 署名付きメッセージをTomatocageによる
Stake your Bitcoin address here のスレッドに投稿しましょう。
4. あなたの署名付きメッセージが他のメンバーにより正しく引用され確認されたかチェックしましょう。
アカウントのロック
アカウントは以下の場合にロックされます。
1) 秘密の質問を用いてパスワードがリセットされた場合
(参考:
PSA: ACCOUNTS WILL BE LOCKED IF THE SECRET QUESTION IS USED TO RECOVER IT)
2) 登録メールアドレス変更時の通知メールに記載されたリンクからアカウントのロックを申請した場合
3) 2015年のデータ漏洩以降、長期間ログインしなかった後に、ログインした場合。
アカウントロック中はログインできず、以下のエラーメッセージが表示されます。
An Error Has Occurred!
Sorry <username>, you are banned from using this forum! Your account looks like it may have been hacked, so it was locked for safety. Email <email address>
Tipsアカウントロックは一時的/恒久的BANとは異なります。BANの場合は以下のエラーメッセージが表示されます。
An Error Has Occurred!
Sorry <username>, you are banned from posting or sending personal message on this forum!
Reason: <reason>
Ban duration: <duration>
BANの場合は代替アカウントを作成してMetaに板を立ててBANについて質問することが可能です。しかし恒久的BANの場合はBAN回避は禁止されています。
BANされたアカウントが使用していたIPアドレスには
イービルスコアが蓄積されます。イービルスコアが一定値を越えると、BAN回避を抑制するためにIPアドレスがBANされます。BANされたIPアドレスから新しいアカウントを作成する場合は少額のBTCを支払う必要があります。
アカウントのアンロック
1. アカウント所有権を証明するために、あらかじめステークしたBitcoinアドレスを用いて署名付きメッセージを作成します。メッセージの例は以下の通りです。
-----BEGIN BITCOIN SIGNED MESSAGE-----
Please unlock my account <account>. The current date is <date>.
-----BEGIN SIGNATURE-----
<insert Bitcoin address here>
<insert signature here>
-----END BITCOIN SIGNED MESSAGE-----
2. 署名付きメッセージをモデレーターに送信する前に、
Brainwallet,
Blockexplorer などを使って自分で確認しましょう。
3. 異なるメールアドレスを用いてBitcointalk代替アカウントを作成します。
4. 上記の署名付きメッセージとBitcoinアドレスをステークした投稿へのリンクを、theymos, Cyrus, hilariousandco にPMで送ります。
ハッキングの通知
プロフィールページで "Receive forum announcements and important notifications by email" にチェックしてあること、また
noreply@bitcointalk.org からのメールが迷惑メールフォルダに分類されない設定になっていることを確認してください。
パスワードが変更された場合(Bitcointalk管理者による場合を覗いて)、noreply@bitcointalk.orgから以下の通知メールが送信されます。
Dear <username>,
Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address xxx.xxx.xxx. If you did not do this, then you should use the forgotten password feature to change your password.
Regards,
The Bitcoin Forum Team.
登録メールアドレスが変更された場合(Bitcointalk管理者による場合を覗いて)、noreply@bitcointalk.orgから以下の通知メールが送信されます。14日以内であれば記載されているリンクからアカウントをロックすることが可能です。
Dear <username>,
Your Bitcoin Forum (bitcointalk.org) email address was just changed from <old email address> to <new email address> by IP address xxx.xxx.xxx. If you did not do this, then you can visit the following link within 14 days in order to lock the account:
https://<url to lock your account>
Note that you will NOT be asked for your password at that URL.
Regards,
The Bitcoin Forum Team
あなたがパスワードやメールアドレスを変更していないにもかかわらず上記のメールを受け取った場合、あなたのアカウントはハッキングを受けて、パスワードやメールアドレスが変更された可能性が高いです。
1) ハッカーがパスワードのみを変更した場合:
ログイン画面の "Forgot password" からパスワードを変更してください。パスワードリセットのためのリンクが記載されたメールが送られますので、そのリンクからパスワードを変更してください。
2) ハッカーがメールアドレスのみを変更した場合:
ログインしてプロフィールページからパスワードとメールアドレスを変更してください。
3) ハッカーがパスワードとメールアドレスの両方を変更した場合:
下記のTipsと
ハッキングやロックされたアカウントの復旧をご覧ください。
Tips上記 3) の場合になってしまったとしても、もしハッカーのメールアドレスが yopmail.com の場合は誰でもアクセスできるので、アカウントをロックせずに取り返せる可能性があります。Swennaによるスレッド
Hacked and Changed Email addresses Account using Yopmail accountsから引用しました以下の案内に従ってください。
1. 私はログイン画面の"Forgot password"のオプションを使って、パスワードリセットのリンクが記載されたメールをyopmailアカウントに送信しました。
2. yopmailを開いてパスワード変更後、メールアドレスも変更し、さらに秘密の質問も設定しました。
3. その後、ハッカーが再度パスワードを変更できないようにするために、yopmailアカウント内にあったフォーラムからのメールを全て削除しました。
ハッキングやロックされたアカウントの復旧
もしあなたのアカウントがハッキングされパスワードとメールアドレスを変更された場合、またはあなたがパスワードを忘れ登録したメールアドレスにアクセスできずパスワードリセットを使用できない場合、または2015年のデータ漏洩以降ログインせずアカウントがロックされてしまった場合、最後の手段としてアカウントの復旧を申請することができます。しかしこの手段に過度に期待することは禁物です。なぜならアカウント復旧の優先順位は低く、復旧まで長い期間がかかることや、あるいは復旧不可能な場合も多いからです。theymosの公式アナウンスは
Recovering hacked accounts or accounts with lost passwordsのスレッドにあります。
1. アカウント所有権を証明するために、あらかじめステークしたBitcoinアドレスを用いて署名付きメッセージを作成します。メッセージの例は以下の通りです。
-----BEGIN BITCOIN SIGNED MESSAGE-----
My account <account> has been hacked/lost. Please reset the email to <email>. The current date is <date>.
-----BEGIN SIGNATURE-----
<insert Bitcoin address here>
<insert signature here>
-----END BITCOIN SIGNED MESSAGE-----
2. 署名付きメッセージをアドミニストレーターに送信する前に、
Brainwallet,
Blockexplorer などを使って自分で確認しましょう。
3.
アカウント復旧後に使いたいアドレスとは異なるメールアドレスを用いてBitcointalk代替アカウントを作成します。
4. 上記の署名付きメッセージとBitcoinアドレスをステークした投稿へのリンクを、theymos, Cyrus にPMで送ります。
アカウント復旧までには数カ月か年単位の時間がかかる可能性があります。その間に、必須ではありませんが、以下のプロセスを行うことが考えられます。
5. 代替アカウントを使ってMetaセクションにスレッドを立てます。
6. 他のメンバーに、送信したPMが必要な情報を全て含んでいるか確認してもらったり、一般的なアドバイスを求めることができます。
7. DTメンバーに、ハッキングされたアカウントに赤いTrustをつけてもらうように署名付きメッセージを用いて依頼することができます。
TipsTips for 1: BitcoinアドレスもしあなたがあらかじめBitcoinアドレスをステークしていなかった場合でも、他の手段であなたのアカウントの所有権を証明できる可能性があります。ベストの選択肢ではありませんが、他の選択肢としては、バウンティキャンペーンの参加者リスト中に記録されたあなたのアドレス(基本的にハッカーが編集不可能です)、Marketplaceやバウンティスレッドなどの過去の投稿に記載されたアドレス(ハッカーはあなたの過去の投稿を編集・削除できるので、投稿が未編集であるか、最終編集日がハッキング以前であるか、スレッドがロックされている場合に限りオリジナルの投稿であることが証明されます)、プロフィールに記載されたアドレス(ハッカーが編集可能なので、特別な事情がない限り証拠として受理されるのは難しいでしょう)などです。これらの選択肢も証拠として受理される可能性がありますが、やはり最善の方法はBitcoinアドレスをステークして他のメンバーに確認と引用をしてもらうことです。
Tips for 3: PM最初に送るPMが最も重要です。全ての必要事項を明記しましょう。記入漏れがあった場合、復旧できなくなる可能性があります。
Tips for 5: スレ上げスレ上げは24時間ごとに1回までです。スレ上げのための投稿は最新のものだけを残し、古いものは削除してください。
Tips for 7: 赤いTrustハッキングされたアカウントにDTメンバーによるコメント付きの赤いTrustをつけてもらえば、そのアカウントがハッキングされたものであることが広く周知されます。これによりハッカーはあなたのアカウントを利用して、バウンティキャンペーンに参加したり、マーケットプレイスで詐欺を働いたり、アカウント売却を行うといったことが難しくなります。他のメンバーがハッキングされたあなたのアカウントにより詐欺に遭う可能性を減らすことができます。アカウントがあなたの管理下に戻った時には、DTメンバーに署名付きメッセージで赤いTrustを外してもらうよう申請する必要があります。
(文字数制限のため
#2 へ続く)