ニーモニックフレーズのない Web3: AA × Passkey は、暗号通貨の次の 10 年をどのように定義するのでしょうか。

Web3 に長く関わっている人であれば、注意深く行動し、幸運にも資産が盗まれるという最悪の瞬間を経験しなかったとしても、コミュニティで次のような助けを求める声を間違いなく聞いたことがあるでしょう。

「スクリーンショットを撮ったこともないし、ニーモニックフレーズを誰かに教えたわけでもない。ただ普通にウォレットを使っただけなのに、なぜ資産が消えてしまったのか？」こうしたケースに共通する最も絶望的な点は、被害者が自分のウォレットがどこで不正アクセスされたのか全く知らないことだ。

知らないうちに侵害されたブラウザプラグインをインストールした人もいれば、携帯電話のメモにニーモニックフレーズを保存して未知のサーバーに同期させた人もいました。また、携帯電話がマルウェアに感染し、クリップボードの内容が密かにアップロードされた人もいました。さらに、偽のウェブサイトに接続してニーモニックフレーズを入力し、数秒以内にウォレットが空になった人もいました...

これは誇張ではありません。暗号資産分野におけるフィッシング詐欺の大半の背後には、共通の脆弱性、つまりニーモニックフレーズが潜んでいると言えるでしょう。この記事では、ニーモニックフレーズが資産セキュリティにおける最大の弱点になりつつある理由、そしてアカウント抽象化（AA）とPasskeyが資産主権をどのように再定義すると予想されるかについても分析します。

I. EOAモデルの限界：「記憶術フレーズ」は呪いとなる

EOA アカウントの問題は「十分に安全ではない」ということではなく、最初から負担が大きすぎるということであることを認めなければなりません。

周知の通り、従来のEOAモデルでは、ニーモニックフレーズが暗号資産の世界の礎となっています。12語または24語からなるシードフレーズは、オンチェーン資産に対する絶対的な制御権を表し、新規参入者にとって暗号資産セキュリティの最も重要な特徴を構成します。つまり、「秘密鍵/ニーモニックフレーズは資産である」ということです。

あなたがこの鍵を保持している限り、取引所であろうとバリデータであろうと、誰もあなたの資産を凍結したり、没収したり、あなたの代わりに操作したりすることはできません。しかし、この完全な分散化は諸刃の剣であり、「絶対的な制御」を意味する一方で、避けられない「単一障害点」も意味します。

まず第一に、取り返しのつかない事態です。ニーモニックフレーズが漏洩したら（何年も前のスクリーンショットであっても、コピーまたは同期されていれば）、ウォレットは二度と安全ではなくなり、銀行やAlipay、WeChatアプリで「パスワードを変更」できるようにニーモニックフレーズをリセットすることもできなくなります。

唯一の解決策はウォレットを放棄して資産を転送することですが、これは、攻撃者があなたよりも速い場合、資産を「元に戻す」または回復する機会がないことも意味します。

第二に、これはハッカーにとって「完璧なハニーポット」です。結局のところ、ニーモニックフレーズによって付与される権限はあまりにも大きいのです。トロイの木馬、偽ウォレット、偽プラグイン、フィッシングサイト、偽カスタマーサービスなど、ハッカーはブロックチェーンの強力な暗号防御を突破する必要はありません。あなたの防御を突破するだけで十分です。あらゆる攻撃ルートは、最終的に同じ目的、つまり12/24の単語をあなたに引き渡すように仕向けることに収束します。

最後に、Face IDや指紋認証による決済に慣れた現代のユーザーにとって、紙に書かれたニーモニックフレーズを理解し、安全に保管することは、大きな認知的ハードルとなります。これはWeb3の大規模導入を阻むだけでなく、あらゆるインタラクションに「なくしてしまうのではないか？」という心理的負担を伴わせることになります。

これは、ユーザーの日常的な操作と、あらゆるデバイスおよびシステム環境のリスクの両方にさらされる「同じ鍵」でしか開けられないドアを守っているようなものです。

こうした背景から、2022年以降、 EOAの限界を超える、ニーモニック/平文フリーの秘密鍵ウォレットが徐々に研究対象として注目を集めるようになりました。MPC技術からCAウォレットまで、誰もがより優れたソリューションを模索しています。それは、Web3ベースの資産主権を維持しながら、Face IDでスマートフォンのロックを解除するのと同じくらいシンプルで安全なソリューションです。

現時点では、アカウント抽象化 (AA) と Passkey テクノロジの組み合わせにより、次の 10 年間で記憶術フレーズ優位の時代を終わらせるチャンスが実際にあるかもしれません。

II. Passkey: 自分自身を鍵に変える

アカウント抽象化 (AA) によってアカウントが「単一の秘密鍵」から解放され、回復可能性、アップグレード可能性、および構成可能性の新しい時代が到来するとすれば (詳しくは、「 EOA からアカウント抽象化へ: Web3 の次の飛躍は「アカウント システム」で起こるか? 」)、Passkey はユーザー エクスペリエンスの質的な変化を推進する「究極の鍵」です。

Passkeyという言葉に馴染みのない方も多いかもしれません。実は、FIDO規格に基づいたパスワードレスログイン技術であるPasskeyは、AppleやGoogleといったテクノロジー大手が長年にわたり推進してきた次世代パスワードレス技術の標準規格です。

暗号通貨の世界では、その重要性は特に大きいです。

簡単に言うと、パスキーとは、お使いのデバイス（携帯電話やパソコンなど）のセキュリティチップに保存されているデジタルキーです。パスキーがあれば、覚えておくべきフレーズを覚えたり、保存したり、入力したりする必要がなくなり、デバイスの生体認証（Face ID/指紋）だけでログインやサインインが可能になります。

実際、多くの人がすでに知らないうちに Passkey の利便性を享受しています。Apple デバイスのアプリにログインしたり、ブラウザーで Web サイトにアクセスしたりするときに、以前はパスワードが必要だったタスクを、「顔のスキャン」/指紋/PIN コードの入力だけで完了できます。

この体験は、シームレスかつ安全であるため、非常に魅力的です。Web3ウォレットがPasskeyをサポートすれば、理論的にはユーザーは秘密鍵に触れることなく利用できるようになります。さらに、アカウントの抽象化を組み合わせることで、ガス処理さえも抽象化でき、これまでにない「シームレス」な体験を実現できます。

では、なぜPasskeyはEOAモードよりも本質的にフィッシングに対する耐性が高いのでしょうか？それは、従来のニーモニックフレーズモードでは決して実現できない2つの強力な機能を備えているからです。

• 秘密鍵はデバイスから外部に漏洩することはなく、「詐欺」されることはありません。ニーモニックフレーズは他人に送信できる文字列ですが、パスキーはハードウェアデバイスに紐付けられています。秘密鍵はデバイス本体から外部に漏洩することはなく、ハッカーがフィッシングサイトや改ざんされたブラウザプラグインを通じて指紋や顔データを「入力」させることもありません。
• 偽ウェブサイトを徹底的に排除：これもPasskeyのコアとなるキラー機能の一つです。WebAuthn / FIDO2バインディングメカニズムを利用するPasskeyプロトコルは、現在のウェブサイトのドメイン名の検証を強制します。つまり、たとえ誤って偽ウェブサイト（迷惑テキストメッセージを送信するimTokenの偽ウェブサイトなど）にアクセスしたとしても、デバイスはドメイン名が一致しないことを検出し、生体認証を拒否します。これは、ユーザーの手動判断に依存しないシステムレベルの防御です。

一方、Passkey は、ニーモニックフレーズ、スクリーンショット、バックアップを必要とせず、シームレスなエクスペリエンスを提供します。指紋をタッチするか顔をスキャンするだけで、ログイン、署名、承認を完了できます。

だからこそ、Web3 の世界では、Passkey は AA と組み合わせることで、使用方法を学ぶ際にユーザーを慎重にさせるパッチではなく、ユーザー エクスペリエンスとセキュリティの両方を同時に強化するソリューションとして見られるのです。

III. 次世代Web3セキュリティとエクスペリエンスの哲学

この観点から、AA と Passkey が出会うことで、より直感的で安全、そして将来志向のアカウント モデルを構築できるようになります。

安全性とエクスペリエンスに関するこの新しい哲学は、次のように理解できます。

• 人が鍵となります。アカウントはデバイス自体によって保護され、Face ID/指紋はあなたの署名となります。
• 物理的な分離: セキュリティはハードウェア レベルで保護され、安全なチップに保存されるため、トロイの木馬によってエクスポートまたは読み取られることはありません。
• クラウド ローミング: iCloud などの同期方法を使用すると、アカウントを複数のデバイス間で安全にローミングできます。
• システム防御: 本物の Web サイトと偽の Web サイトを見分けるためにユーザーが苦労することではなく、システムをよりスマートにしてリスクを自動的にブロックすることです。

これらすべてが新しいパラダイムを構成します。これは、ユーザーが学習して防御するために努力することではなく、システムをよりスマートにすることです。

imToken Webを例に挙げましょう。これは、非管理型のトークン中心のウェブアプリケーションで、ユーザーが秘密鍵やニーモニックフレーズの設定やバックアップをすることなく、迅速かつ安全にアカウントを作成またはログインし、いつでもどこでも様々なトークン機能を利用できるように設計されています。

たとえば、imToken Web を使用すると、実質的にバリアフリーの「4 つのノー」エクスペリエンスが得られます。

• 参入障壁なし：12語を書き写すための紙とペンを用意する必要も、記憶術のフレーズを間違えて書き写す心配もありません。クリックしてウォレットに接続し、Face IDまたは指紋認証を行うだけで、アカウントが即座に生成されます。
• フィッシングリスクの影響を受けません: ログインはパスキーに依存しているため、偽の Web サイトはドメイン検証を通過できず、署名を呼び出すこともできません。そのため、秘密鍵が公開されることはありません。
• ガスの不安なし: AA ウォレットとして、imToken Web は USDT/USDC を使用した直接ガス支払いをサポートしているため、アカウントに ETH がないため困ることはありません。
• シームレスなデバイスローミング：システムレベルの同期機能により、PasskeyはAppleまたはGoogleエコシステムデバイス間で自動的に同期されます。スマートフォンを紛失した場合でも、新しいデバイスでシステムアカウント（Apple ID / Google）にログインし、生体認証を認証するだけで、アカウントは安全に維持され、復旧可能です。

さらに興味深いのは、この障壁の低い体験によって、まったく新しいインタラクション方法が実現されることです。

これを踏まえて、imToken Webではまるで紅包を送るようにトークンを送信できます。例えば、「リンクで送信」を選択し、「金額」と「リンクの有効期限」を設定すると、直接リンクを作成し、WeChat、Twitter、Telegramなどのあらゆるチャネルを通じて、誰にでも（ウォレットを持っていない相手にも）送信できます。

受信者は事前の設定を必要とせず、リンクをクリックするだけで安全かつ便利にアカウントを作成し、「アクセス キー」を使用して資産を請求できます。

結論は

Web3 の将来はオタクだけに限定されるべきではありません。

Web3 の不確実な世界では、最も堅牢なセキュリティ技術 (AA と Passkey) を最もシンプルなユーザー エクスペリエンスにカプセル化し、それによって新規ユーザーと既存ユーザーの両方のセキュリティのしきい値とエクスペリエンスを下げるウォレットこそが、トラフィックのエントリ ポイントとして次の 10 年を模索するためにまさに行うべきことです。

したがって、ニーモニックフレーズの保護に関する不安にうんざりしている場合、フィッシング攻撃の次の被害者になることを心配している場合、または単に「考える必要のない」暗号通貨ウォレットを友人に推奨したい場合、これはあなたにぴったりです。

だから、記憶術フレーズのない未来を楽しみにしたり、試してみる時が来たのです。