本記事では、MetaMaskの概要について述べた上で、過去のハッキング事例を紹介します。また、過去のハッキング事例を踏まえて今後利用時に行うべきセキュリティ対策についても解説します。
MetaMaskの利用を検討している方は参考にしてください。
MetaMask(メタマスク)とは?
MetaMaskは、仮想通貨(暗号資産)専用の財布のことです。イーサリアム(ETH)や、イーサリアムをベースに発行されたERC-20トークンを保管・管理することができるWeb上のウォレットになります。
パソコンにインストールして利用するデスクトップウォレットと、スマホにアプリをインストールして利用するモバイルウォレットの2つのタイプがあります。MetaMaskはイーサリアムのブロックチェーンと連動したサービスの決済に利用したり、ブロックチェーンゲームと連携させることが可能です。
MetaMaskを利用したハッキングの特徴
MetaMaskは便利ですが、MetaMaskの特徴を利用したハッキングのリスクが存在します。ウォレットの複製による不正送金、2段階認証されていないアカウントへの侵入、2段階認証されていないアカウントへの侵入といった内容でハッキングされる可能性があるので紹介します。
ウォレットの複製による不正送金
秘密鍵がわかるとウォレットを複製されてしまし、一気に送金させられるといったことが起こりえます。そのため、秘密鍵を見つけようと、仮想通貨の情報流出者のメールアドレスからクラウドストレージサービスにハッキングを試みそこから秘密鍵を盗み取ろうとする行動を起こす者もいます。
そのため、クラウドストレージサービス上では秘密鍵を置かないことやオンライン上に置く場合には必ずパスワードをつけたファイルで保管することが重要です。秘密鍵は手書きで紙に書いて保管するなどオフライン上で管理するのも有効です。
2段階認証されていないアカウントへの侵入
2段階認証がされていないアカウントはハッキングをされてしまう確率を高めてしまいます。しかし、通常の仮想通貨取引所であれば送金時に2段階認証やメール認証がなどセキュリティがありますが、MetaMaskには基本的に2段階認証がありません。
そのため、送金時に、ウォレット保有者は送金させられたことにすぐに気づきません。ハッキングにあったときに気づくのが遅くなる可能性が高いため、すぐに動けるようにこまめな確認とセキュリティへの意識を高めることが大切です。
無線LANを利用した資金の抜き取り
空港や飲食店などの共有で使える無線LANを使った場合、そこからパソコンに侵入されMetaMaskにアクセスされてしまう可能性があります。MetaMaskは起動時にパスワードを入力することになっており、そのパスワードを破らないと起動できませんが、不正傍受などでパスワードを知り起動させられ資金を抜き取られてしまうことがあります。
共有時はMetaMaskのブラウザとの接続を切っておくことで資金を守ることができます。
MetaMaskの過去のハッキング事例
MetaMaskの過去のハッキングには数多くの事例があります。クラウドストレージサービスを経由したハッキングや身に覚えのないトークンを送りつけて資金を不正取得など今回6つの事例について紹介します。
さまざまな事例を知ることで注意点を確認しましょう。
クラウドストレージサービスを経由したハッキング
標的型攻撃や不正アクセスなど、サイバー攻撃のリスクはクラウドストレージでも高まっています。膨大な量の機密データが保存されている可能性があるクラウドストレージは、当然ながら標的となりやすいです。
クラウドストレージがそのシステムの脆弱性を突かれ、侵入されてしまうと、悪意のある第三者によってMetaMaskに関わるデータ(秘密鍵など)が盗まれるなど、大規模な情報漏えいが起こりえます。秘密鍵は手書きで紙に書いて保管するなどオフライン上で管理するなどクラウドストレージに対して対策をしましょう。
署名画面を通じて8億円の仮想通貨が流出
2020年12月にDeFi(分散型金融)における大手暗号資産(仮想通貨)保険サービスNexus Mutualの創業者Hugh Karp氏が保有するMetaMaskがハッキングされ8億円ほど盗まれる事件が発生しました。ハッキングを受けた要因ですが、MetaMaskをDeFiに接続する場合予め接続する作業を行いますがその際に署名をする作業が発生します。
その際に無関係のポップアップの表示で署名をさせることでそこから保有者のPCに潜り込み、仮想通貨を送金して盗み取ったということです。
DeFi接続済のアカウントへのハッキング
上記の事件の続きとなりますが、用意した「なりすましトランザクション」を承認するよう罠を仕掛けて、ウォレットアプリのMetaMaskにおけるトランザクションをすり替えました。最終的には、攻撃者のウォレットに送金するように仕向けたという形になります。
Hugh Karp氏はMetaMaskのプライベートキー(秘密鍵)が盗まれたわけではなく、「なりすましトランザクション」を仕掛けられた攻撃を受けたと説明しました。Nexus Mutualのサービスには影響されていないとのことです。
MetaMaskに似たサイトから個人情報を取得
MetaMaskに似たサイトから個人情報を取得する手口もあります。フィッシング詐欺といいますが、気付かずにダウンロードするとユーザーは12の単語(seed)入力するよう求められ、ウォレットから資金が盗まれる仕組みです。
メタマスクのフィッシングサイトは、Googleでスポンサー広告を購入しているため「MetaMask」と検索すると本物のサイトより上位に頻繁に表示される仕様になっていました。これの対策としてはGoogle Chromeストア内からのみダウンロードやMetaMaskの正規のURLかを確認しましょう。
身に覚えのないトークンを送りつけて資金を不正取得
ウォレット内に身に覚えのないトークンが勝手に入っていることがあります。相手のアドレスさえ分かっていれば任意のトークンを送りつけることも出来てしまい、受け取る側は拒否することが出来ません。
これらの意図はトークン名のアドレスにアクセスさせてその先のサイトでWavesウォレットに入るための鍵となるパスワードを入力させるように仕向けてウォレット内の資産を抜き取ることを目的に送られています。対策としては放っておいて、何も触らず無視することが重要です。
なりすましメールによるアカウント情報の取得
なりすましメールの手口は、なりすましメールから偽装したサイトに誘導し、パスワードやクレジット番号などを盗み取ります。誘導先のサイトは一見すると本物との区別がつかないように作られています。
銀行やオークションサイトなどでなりすまして偽装したサイトに誘導されることが多いですが、MetaMaskも例外ではありません。怪しいメールは、開かないことや遷移先のURLが正しいかなどの確認をするようにしましょう。偽サイトでアカウント情報を入力するとお金が抜き取られてしまいます。
MetaMask利用時に有効なセキュリティ対策
MetaMask利用時には、ハッキングを防ぐために有効なセキュリティ対策がいくつかあります。秘密鍵をオフラインで管理すること、ウォレットを用途別に使い分けること、金融庁認可済の取引所を利用することが有効となりますので順に紹介します。
秘密鍵をオフラインで管理する
クラウドストレージサービスを経由したハッキングに対して、有効であることを記載しました。秘密鍵をオンラインで管理するよりも、オフラインで管理した方がより安全と言えます。
オンラインから抜き取られることがなくなるからです。入出金などの取引に手間はかかりますが、基本的にデバイスはオフラインで管理し、ウォレットの操作をするときだけオンライン状態のパソコンにUSB形式のデバイスを接続するハードウェアウォレットを利用した方が、よりセキュリティは高まります。
ウォレットを用途別に使い分ける
ウェブウォレットは、ウェブブラウザからIDとパスワードを使ってアクセスすることができ気軽に利用できますが、秘密鍵の管理をサービス業者に委ねるため、委託先のリスクを負います。ソフトウェアウォレットはアプリとして利用可能なウォレットで端末にて秘密鍵を管理します。
ハードウェアウォレットはウォレットの操作をするときだけオンライン状態のパソコンにUSB形式のデバイスを接続します。ぺーパーウォレットは紙やカード、金属板などで秘密鍵を管理するウォレットです。利用は不便ですが安全に管理できるため、自分の用途に応じて使い分けましょう。
金融庁認可済の取引所を利用する
取引所がハッキングされたからと言って、焦って自分の暗号資産を取り出そうとしてはいけません。焦ってセキュリティの弱いソフトウェアウォレットをダウンロードして移そうとすると、今度はそのアプリに暗号資産をすべて抜き取られてしまう可能性もあります。
金融庁が認可した日本国内の取引所であれば、ハッキングされて流出があっても補填できるような体制をとるようにしているはずですので、むやみに取り出す必要はありません。金融庁の審査基準は厳しい分、認可をもらっている取引所は比較的安全に使用することが出来ます。
まとめ
MetaMaskの概要と、MetaMaskの過去のハッキング事例とそれに向けたセキュリティ対策を理解できたと思います。MetaMaskはイーサリアムのブロックチェーンと連動したサービスの決済に利用したり、ブロックチェーンゲームなどと連携させることができて便利ですが、いつ攻撃を受けるかわからないので管理については厳重に行いましょう。
