OKX Web3 セキュリティ チーム: 目を保護するのと同じように、秘密鍵を保護してください。

あなたの鍵も、あなたのコインもありません。分散化された自由は、絶対的な「秘密鍵のセキュリティ」を犠牲にして実現されます。

Chainalysisが2025年7月に発表したレポートによると、ビットコインの17%～23%が、秘密鍵の紛失やデバイスの破損により、永久に休眠状態にあることが明らかになりました。秘密鍵は資産の所有権を表すため、一度紛失するとリセットできず、復旧を支援するカスタマーサービスもありません。また、一度他人に知られると、盗まれた資金の回復はほぼ不可能です。オンチェーンの世界は私たちに自由を与えますが、同時にすべての責任を私たちに負わせます。オンチェーンのエコシステムが繁栄するにつれて、さまざまな資産盗難事件が頻発していますが、人々は事後に初めてそれに気づくことが多く、問題がどこで発生したかを特定するのは困難です。秘密鍵が漏洩したのか、フィッシングリンクをクリックしたのか、トロイの木馬プログラムがダウンロードされたのか、あるいはその他の操作ミスなのか。

OKX Web3 セキュリティ チームは、この教育キャンペーンを通じて秘密鍵のセキュリティに対する認識を高めるとともに、最も見落とされやすいセキュリティの盲点を確認したいと考えています。

1. 秘密鍵やニーモニックフレーズが漏洩するのはなぜですか?

まず、よくある誤解を正しましょう。多くのユーザーは、秘密鍵またはニーモニックフレーズの漏洩（以下、「秘密鍵漏洩」）は、ウォレットの使用中に発生することが多いと考えています。実際には、信頼できるブランドの公式ウォレットを正規のチャネルを通じてダウンロードして使用する場合、通常の使用中に秘密鍵が漏洩することはほとんどありません。秘密鍵の漏洩は、不適切な保管方法によって発生することが多く、他人に取得されてしまう可能性があります。秘密鍵が誰かに盗まれれば、そのアカウントの資産をどのウォレットにインポートして操作することも不可能ではありません。

実際には、秘密鍵の漏洩には様々な原因があり、その発生源を完全に追跡することは困難な場合が多いです。しかしながら、数多くの業界事例の分析と調査支援を通じて、いくつかの典型的なシナリオと手がかりをまとめました。（下記参照）

画像: SlowMist の Yu Xian 先生が語る、秘密鍵盗難の理由を分析することの難しさ。

II. 一般的な秘密鍵漏洩のシナリオと軽減策

(a) 最も見落とされやすいシナリオ: ウォレットは作成されたときにすでに漏洩していた。

事例1：他人が作成したウォレット。Web3初心者の李さんは、「親切なメンター」の助けを借りてウォレットを作成しました。メンターはウォレットの作成、取引パスワードの設定、入金と取引の手順を指導してくれました。取引パスワードは設定されていましたが、メンターはウォレット作成の過程で既に李さんの秘密鍵を入手していました。数日後、李さんが預けた5ETHは短期間で送金されてしまいました。李さんは、取引パスワードはローカル認証のみに使用され、秘密鍵さえあれば誰でもどのウォレットからでも資産をインポートして直接送金できることに気付きました。

セキュリティに関するアドバイス：ウォレットは必ずご自身で作成してください。誰かに「手伝ってもらう」、あるいは「代わりにやってもらう」ことは避けてください。秘密鍵が侵害された疑いがある場合は、できるだけ早く資産を新しいウォレットに移してください。

事例2：ビデオ会議によるウォレット作成。張さんは遠隔地にいる「先生」の指導の下、ビデオ会議でウォレットを作成しました。先生はウォレットのダウンロード、ニーモニックフレーズの生成、ガスの入金、トークンの購入まで、手順を一つ一つ丁寧に説明しました。このプロセスは非常に「思慮深い」もので、最後に先生は「秘密鍵を誰にも教えないでください」と注意しました。しかし、張さんはビデオ会議中にニーモニックフレーズが録音されていた可能性に気づいていませんでした。2週間後、張さんの口座から約1万2000ドル相当のUSDTが送金されました。

セキュリティに関する推奨事項：ウォレットを作成する際は、画面共有、画面録画、画面ミラーリングを無効にしてください。秘密鍵が侵害された疑いがある場合は、できるだけ早く資産を新しいウォレットに移してください。さらに、OKXウォレットでは、秘密鍵とニーモニックフレーズが表示されるページでは、スクリーンショット、画面録画、画面ミラーリングが禁止されているため、セキュリティが効果的に強化されています。

画像: 画面ミラーリングが検出されると、OKX Wallet はニーモニックフレーズと秘密鍵を自動的に非表示にし、テキストを他の人に見えなくします。

(ii) 最も一般的なシナリオ: 秘密鍵の不適切な保管による漏洩。

ケース3：偽アプリ、Androidユーザーにとっての悪夢。用心深いユーザーである王氏は、ウォレットを作成した後、ニーモニックフレーズのスクリーンショットをローカルのフォトアルバムに保存し、クラウドへのアップロードはしませんでした。クラウドの方が安全だと考えたからです。しかし、あるフォーラムから「拡張版Telegram」と称するアプリをダウンロードしました。このアプリのアイコンとインターフェースは公式版とほぼ同じでした。しかし実際には、このアプリはバックグラウンドで携帯電話のフォトアルバムを継続的にスキャンし、OCR（光学文字認識）技術を用いてニーモニックフレーズを認識し、ハッカーのサーバーに自動的にアップロードしていました。3か月後、王氏のアカウントは空になり、5万ドル以上の損失が発生しました。技術的な分析により、彼の携帯電話には偽のimToken、MetaMask、Google Authenticatorなど、他の悪質アプリもいくつか含まれていたことが判明しました。

事例4：BOM悪意あるアプリケーションがニーモニックフレーズの漏洩を引き起こす。 2025年2月14日、複数のユーザーがウォレット資産の盗難に遭った。オンチェーンデータ分析の結果、これらの盗難事例はすべて、ニーモニックフレーズ/秘密鍵漏洩の典型的な特徴を示していることが明らかになった。被害を受けたユーザーへのさらなる追跡調査の結果、ほとんどのユーザーがBOMと呼ばれるアプリケーションをインストールして使用していたことが判明した。詳細な調査の結果、このアプリケーションは実際には巧妙に偽装された詐欺であることが判明した。犯罪者はユーザーに許可を与えることでニーモニックフレーズ/秘密鍵へのアクセスを不正に取得し、組織的な資産移転を行い、活動を隠蔽しようとした。

セキュリティに関する推奨事項：多くのユーザーは利便性から習慣を身につけていますが、これらはまさに最も危険です。そのため、次のことをお勧めします。1) ニーモニックフレーズのスクリーンショットを撮らないでください。紙に手書きで保存し、安全な場所に保管することをお勧めします。2)アプリをダウンロードする際は、必ず公式チャネルを使用してください。不明なソースからの「拡張バージョン」やサードパーティの改変を安易に試さないでください。3)デバイスに異常が見つかった場合、または以前に秘密鍵のスクリーンショットを撮ったことがある場合は、危険を冒さず、すぐに資産を新しいウォレットに移してください。4) OKXはどのような対策を講じましたか？ユーザーが秘密鍵とニーモニックフレーズのバックアップページでスクリーンショットを撮るのを防ぐため、これらの機密ページのスクリーンショット機能を無効にしました。

画像: OKX Wallet では、秘密鍵とニーモニックフレーズのページでのスクリーンショットが禁止されています。

さらに、ユーザーが偽のアプリをインストールするリスクを軽減するために、Android 版では悪質アプリのスキャン機能も提供されています。

画像: OKX Wallet Android バージョンには、悪意のあるアプリケーションのスキャン機能が備わっています。

(iii) 最も一般的かつ最も簡単に騙されるシナリオは、秘密鍵を使用した他人によるフィッシングです。

事例5：偽のエアドロップによるフィッシング。ある著名なNFTプロジェクトが、保有者に対して新たなトークンをエアドロップするとTwitterで発表しました。発表からわずか10分後、Google検索結果の上位に複数のフィッシングサイト（有料広告で宣伝）が表示されました。これらのフィッシングサイトのドメイン名は1文字だけ異なっており（例：opensea.ioではなくopensae.io）、ページデザインは公式サイトとほぼ同じでした。ユーザーがウォレットを接続すると、ページに「ネットワークが混雑しているため接続に失敗しました。エアドロップを受け取るには、ニーモニックフレーズを手動で入力してください」というメッセージが表示されました。この日、50人以上のユーザーがこの詐欺に騙され、合計20万ドルを超える損失が発生しました。最も速かった被害者は、ニーモニックフレーズを入力してからわずか3.7秒で資産を送金しました。

ケース6：ソーシャルエンジニアリング攻撃。趙さんは、あるプロジェクトのDiscordグループで運用上の問題に遭遇しました。非常に「公式」なプロフィール写真とニックネームを持つ管理者が、カスタマーサービス担当を名乗り、サポートを提供すると申し出て、個人的にメッセージを送信してきました。管理者は「認証ページ」へのリンクを送信しました。趙さんはそれを信じ、リンクをクリックし、指示に従ってニーモニックフレーズを入力しました。ページは公式サイトと全く同じように見えました。数分後、彼女のウォレットから突然、複数の取引が連続して送金されました。彼女は、このいわゆる管理者が実は詐欺師であることに気付きました。ウェブページでユーザーにニーモニックフレーズや秘密鍵の入力を求める「カスタマーサービス」は、間違いなく詐欺です。詐欺師は、公式管理者になりすますだけでなく、友人やプロジェクトの従業員、その他の信頼できる人物になりすますこともあることに注意が必要です。

セキュリティに関するアドバイス：正規のDAppは秘密鍵を要求することはなく、信頼できる人物も決して要求しません。覚えておいてください：秘密鍵はあなたの資産への鍵です。安全に保管し、簡単に開示しないでください。

3. ウォレットベンダーは、秘密鍵が漏洩したら、なぜできることがほとんどないのでしょうか?

ユーザーは、秘密鍵が漏洩したり、資産が移転されたりしたことに気付くと、すぐにウォレットチームに連絡を取り、さらなる支援を期待します。しかし実際には、秘密鍵が一度漏洩してしまうと、ウォレットベンダーが介入できる余地は極めて限られています。

ここでは、「盗難資産」に関するフィードバックを受け取った場合の基本的な処理プロセスの概要と、チェーン上の資産を直接「回復」できないことが多い理由について説明します。

まず、資金の流れを追跡し、オンチェーン上の資金が既知のハッカーグループやアドレスクラスターに関連しているかどうかを分析するお手伝いをいたします。同時に、さらなる損失のリスクを軽減するため、まだ盗難されていない資産をできるだけ早く移管するようアドバイスいたします。多額の資金が盗難された場合は、直ちに地元の警察に連絡し、法的手段を通じて支援を求めるようアドバイスいたします。また、社内チームによる詳細な分析を行い、ハッカーの手口をまとめ、今後のユーザー保護の参考とさせていただきます。

ツールプロバイダーであるウォレット自体には、オンチェーン資産を凍結またはロールバックする能力も権限もありません。ハッカーが秘密鍵を入手すると、通常、自動化されたスクリプトを使用して数秒以内に資金を送金できます。これは非常に高速で、介入が困難なプロセスです。盗まれた資金が最終的に中央集権型取引所に流入した場合にのみ、法的手段を通じて一時的な凍結を申請できます。

資金調達チェーンが、私たちがすでに特定したハッカー集団にリンクされている場合、私たちは彼らの共通の手口から始めて、ユーザーが最近高リスクな操作を実行したかどうかを思い出せるようにし、どの段階で秘密鍵が漏洩した可能性があるかを判断します。

OKXは常にユーザー資金のセキュリティを最優先に考え、長年にわたりリスク管理システムの構築と複数の検証メカニズムの設計に多額の投資を行ってきました。これらのプロセスは煩雑に見えるかもしれませんが、すべてユーザー資産の保護を強化するために設計されています。私たちは業界で最もセキュリティに投資しているチームの一つであると言っても過言ではありません。

画像: OKX Walletがセキュリティスコアで1位に

前述の通り、ユーザーのセキュリティ意識が低かったり、不適切な使用習慣があったりすると、どのウォレットを使用していても、フィッシングや秘密鍵の漏洩などにより損失を被る可能性があります。そのため、秘密鍵を適切に保護することは、依然として最も重要なセキュリティ基盤です。製品のセキュリティ機能を継続的に向上させるだけでなく、ユーザーが潜在的なリスクシナリオをより適切に特定できるよう、ケーススタディの強化やセキュリティに関するヒントの共有も継続的に行っています。

IV. まとめると、秘密鍵のセキュリティに関するヒントをいくつか紹介します。

免責事項:

この記事は情報提供のみを目的としています。(i)投資に関する助言や推奨、(ii)デジタル資産の売買または保有の申し出、勧誘、または誘引、(iii)財務、会計、法律、税務に関する助言を提供することを意図したものではありません。デジタル資産（ステーブルコインおよびNFTを含む）は市場変動の影響を受けやすく、高いリスクを伴い、価値が下落する可能性があります。デジタル資産の取引または保有がご自身に適しているかどうかについてご質問がある場合は、法律、税務、または投資の専門家にご相談ください。OKX Web3 Walletは、サードパーティプラットフォームの検索と利用を可能にする、自己管理型のウォレットソフトウェアサービスです。OKX Web3 Walletは、サードパーティプラットフォームのサービスを管理しておらず、それらについて一切の責任を負いません。すべての製品がすべての地域で利用できるわけではありません。適用される現地の法律および規制を理解し、遵守する責任はお客様にあります。OKX Web3 Walletおよび関連サービスはOKX Exchangeによって提供されるものではなく、OKX Web3エコシステムの利用規約が適用されます。