Web3 サバイバルガイド 01 | 秘密鍵/ニーモニックフレーズとウォレットパスワードの違いは何ですか？

普段、Web3 に触れ始めたばかりの方からの質問に答える機会が多く、さまざまな問題に直面してきました。

例えば、「ウォレットを誤って削除した/パスワードを忘れた場合、復元できるのか」という質問や、シードフレーズをスクリーンショットしてアルバムに保存し、「誰かに送らなければ大丈夫」と思っている人、取引所のアカウントと自分でダウンロードしたウォレットの違いがずっとわからない人などがいます。

これらの質問はとても基本的に見えますが、実際には、何年もウォレットを使っている人でも、完全に理解しているとは限りません。

そこで、私は新しく「Web3 サバイバルマニュアル」シリーズを始めようと思います。できるだけ専門用語を使わず、一見小さくても実際には非常に重要な問題に焦点を当て、皆さんが Web3 を理解し、使えるようになるための手助けをします。

この記事は「Web3 サバイバルマニュアル」の第 1 回目です。最も重要なことから始めましょう。秘密鍵、シードフレーズ、ウォレットパスワードの違いは一体何なのでしょうか？

一、まずはこの一文を覚えておいてください：ウォレットの中に実際にコインはありません

多くの人は、自分の BTC、USDT、ETH、その他のトークンが「ウォレットの中に」存在していると考えがちです。

しかし、厳密に言えば、資産はウォレットアプリの中にあるのではなく、ブロックチェーン上に記録されています。言い換えれば、あなたが使っているウォレット（MetaMask、OKX、SafePal、TP、imToken など）は、資産を保管する金庫というよりも、鍵を保管するためのツールキットのようなものです。

• ブロックチェーンは、あなたのアドレスがどれだけの資産を持っているか、その資産がどこから送られてきて、どこに送られたかを記録する役割を担います。
• ウォレットは、そのアドレスの「鍵」を保管し、そのアドレスへの資産の送金・送信を支援する役割を担います。

例えば、送金、トークンの交換、あるいはチェーン上のアプリケーションを承認する際、ウォレットは内部に保存された秘密鍵を呼び出してその操作に署名します。これは、そのアドレスを管理する人物が確かにその操作の実行に同意したことをブロックチェーンに証明するようなものです。

つまり、ウォレットアプリはコインを入れる金庫ではなく、むしろ鍵を入れる箱のようなものです。本当に価値があるのは、箱そのものではなく、中の鍵（秘密鍵）なのです。

このことから、多くの人が理解しにくい2つのことも説明がつきます。

• 元のウォレットアプリが廃業したり、ストアから削除されたり、うっかり削除してしまっても、正しい秘密鍵のバックアップがあれば、別のウォレットをダウンロードして秘密鍵をインポートし、復元することができます。 なぜなら、現在の業界は同じ技術標準に基づいており、各社のウォレットのインポートロジックは互換性があるからです。箱を交換しても、同じ鍵があれば鍵は开くのです。
• もし秘密鍵が他人に渡ってしまった場合、たとえあなたの手元にスマホがあり、ウォレットアプリを削除していなくても、他人はあなたの資産を移動させることができます。 なぜなら、他人はその鍵を自分のウォレットにインポートできるからです。ブロックチェーンは鍵だけを認識し、鍵を持っている人が誰かは認識しないからです。

二、秘密鍵、シードフレーズ、ウォレットパスワードの違いは一体何なのか？

秘密鍵がそんなに重要なら、シードフレーズとは一体何なのでしょうか？

実は、シードフレーズが登場した主な理由は、一般の人がより簡単にウォレットをバックアップできるようにするためです。 秘密鍵はシステムによってランダムに生成された文字列で、長くて複雑なため、手動で書き写すのは間違いやすく、普通の人が直接覚えることはほぼ不可能です。

そこで業界は共通の標準を採用し、秘密鍵をすべて12個または24個の英単語からなるシードフレーズに「変換」するようにしました。

つまり、秘密鍵とシードフレーズは、本質的には同じ鍵であり、単に形式が異なるだけです。 少し詳しく言うと、理論上は、1組のシードフレーズから複数の秘密鍵を派生させることができます。わかりやすく言えば、秘密鍵を1本の具体的な鍵、シードフレーズを鍵束のマスターバックアップと考えることができます（私は以前の記事『「捕風追影」から始めて：上兆の暗号資産を決定する2048の単語』でも、シードフレーズがなぜ通常、固定の単語リストから生成されるのか、その背景にある基本的なロジックについて触れていますので、興味のある方はご覧ください）。

現在、ほとんどの主流ウォレットは作成時にユーザーにシードフレーズのバックアップを促し、一般ユーザーにわざわざ長い秘密鍵を書き写させることはほとんどなくなりました。

ただし、秘密鍵であれシードフレーズであれ、誰にも教えてはいけません。通常、ウォレットのカスタマーサービス、プロジェクトチーム、取引所のスタッフなどが、あなたに秘密鍵やシードフレーズの送信を求めることはありません。「ウォレットの確認」「風呂敷解除」「エアドロップ受取」「資産回復の支援」などの理由で秘密鍵の提供を求めてくる者は、基本的に詐欺として扱って問題ありません。

では、ウォレットのパスワードとは何でしょうか？

ウォレットパスワード、つまりアプリを開く際に設定するPINコードやロック解除パスワードは、単にアプリ自体をロック解除するためのもので、スマホの画面ロックのようなものです。秘密鍵やシードフレーズとは全く別物です。

皆さんは、次のようなシンプルな原則を覚えておいてください。

• ウォレットのパスワードを忘れても問題ありません。秘密鍵/シードフレーズを再インポートして、新しいパスワードを設定すれば良いからです。
• シードフレーズを失くしても、元のウォレットがまだ開けるなら、再バックアップするか資産を移す機会があります。
• シードフレーズを失くし、元のウォレットも開けなくなって初めて、本当に復元できなくなる可能性があります。
• 一度シードフレーズが漏洩したら、すぐに資産を全く新しいウォレットに移すべきです。

三、取引所のアカウントには、なぜシードフレーズがないのか？

多くの人が初めて暗号通貨に触れるのは、BN、OK、BGといった取引所からでしょう。その際、こんな疑問を持つかもしれません。「取引所にもBTC、ETH、USDT、USDCがあるのに、なぜシードフレーズがもらえないんだろう？」と。

なぜなら、中央集権型取引所にある資産は、通常、あなた自身が秘密鍵/シードフレーズを直接管理するのではなく、取引所が代わりに管理しているからです。

私たちが普段取引所にログインする際は、電話番号やメールアドレスとログインパスワード、そしてSMS認証コードやGoogle Authenticatorなどの二要素認証ツールに依存しています。アカウントに表示される残高も、主に取引所が内部システムで記録しているあなたの台帳であり、あなたが完全に直接管理できる独立したオンチェーンアドレスではありません。

この方法の利点はシンプルなことです。たとえパスワードを忘れても、カスタマーサービスに連絡したり、顔認証や身分確認を完了することでアカウントを回復できます。しかし、その代償として、取引所が資産を安全に管理し、全員の入出金を正常に処理してくれると信頼する必要があります。

一方、ウォレットは異なります。秘密鍵はあなた自身が管理し、資産の管理権限は主にあなたの手にあります。いつ、誰に送金するかを取引所の承認を得る必要は通常ありませんが、同時に、シードフレーズの保管、フィッシングサイトの識別、誤操作の回避といった責任を負う必要があります。

だからこそ、私は常に皆さんにこう言っています。取引所と個人ウォレット、どちらかが必ず安全というわけではなく、責任の配分方法が異なるだけです。 取引所を使うことは、安全と保管の責任の一部をプラットフォームに預けることです。ウォレットを使うことは、資産の管理権限とそれに伴う責任をすべて自分の手に取り戻すことです。

どちらを選ぶかは、資産の規模、使用頻度、そして自身のリスク管理能力次第です。

しかし、今日ではもう一つ混乱しやすい点があります。現在の主流取引所は、通常「取引所アカウント」と「Web3ウォレット」の両方を提供しています。例えば、同じBNやOKのアプリ内で、取引所アカウントにログインすることも、シードフレーズのバックアップが必要なセルフカストディアルウォレットを作成することもできます。

入り口は一緒にありますが、両者は同じアカウントではなく、資産の管理方法も全く異なります。判断基準は簡単です。ウォレットが独立したシードフレーズのバックアップを要求し、プラットフォームが代わりに復元できないことを明示している場合、それはセルフカストディアルウォレットに該当します。

四、ホットウォレットとコールドウォレットの違いも秘密鍵にあります

秘密鍵/シードフレーズを理解すれば、ホットウォレットとコールドウォレットの区別は簡単です。

• ホットウォレット：秘密鍵はインターネットに接続されたデバイスに保存され、スマホやパソコンで署名を行います。MetaMask、OKX、SafePal、TPなどのブランドが提供するウォレットアプリは、通常ホットウォレットに分類されます。
• コールドウォレット：よく耳にするハードウェアウォレットは、コールドウォレットの一般的な実装方法の一つです。秘密鍵は専用のオフラインハードウェアデバイス内で生成・保存され、署名時にも秘密鍵はデバイスから出ません。例として、Ledger、Trezor、OneKeyのハードウェアデバイスが挙げられます。

もちろん、現在ハードウェアウォレットを手がけるプロジェクトのほとんどは、それに対応したソフトウェアアプリも提供しています。SafePalやOneKeyなどがその例です。

ここで補足しておくと、コールドウォレットは、デバイス全体が一切インターネットに触れないことを意味するわけではありません。より正確には、秘密鍵自体がハードウェアデバイスから出ない ことを指します。インターネットに接続されたスマホやパソコンに直接さらされることもありません。実際の流れはおおよそ次の通りです。

• スマホやパソコンが、署名待ちのトランザクションを生成します。
• ハードウェアウォレットが、デバイス内部のセキュリティチップで署名を完了します。
• ハードウェアウォレットは、署名結果をスマホやパソコンに送り返します。
• スマホやパソコンが、トランザクションをブロックチェーンにブロードキャストします。

このプロセス全体を通じて、秘密鍵は常にハードウェアデバイスのセキュリティチップ内部に保持されます。

しかし、コールドウォレット、すなわちハードウェアウォレットは、絶対に安全というわけではありません。 もしハードウェアウォレットのシードフレーズを写真に撮ってアップロードしたり、フィッシングサイトに入力したり、悪意のあるコントラクトを誤って承認したりした場合、ハードウェアデバイス自体がどんなに安全でも意味がありません。

結局のところ、ハードウェアウォレットが保護するのは秘密鍵の保存と署名の環境ですが、ユーザーが自らシードフレーズを漏洩する行為までは防げないのです。

ホットウォレットとコールドウォレット/ハードウェアウォレットの具体的な選択については、次の記事で詳しくお話しします。

五、シードフレーズは、本当にクラウドストレージに保存してはいけないのか？

「シードフレーズをスマホのメモ帳に保存しておけば、誰かに送ったりしないからダメなの？」「支付宝のスチールキャビネットや暗号化クラウドストレージに保存するのは安全なの？」と繰り返し質問してくる方もいます。

客観的に言えば、セキュリティの問題は単純に「必ず盗まれる」か「絶対に盗まれない」かではなく、保存方法の違いによって異なるリスクの確率が存在するということです。

シードフレーズを普通のメモ帳、微信のコレクション、チャット履歴、メール、フォトアルバムなどに保存する最大のリスクは、スマホがウイルスに感染したり遠隔操作されたり、クラウドアカウントが盗まれたり、フォトアルバムやメモ帳が自動同期される可能性があることです。また、一部のアプリがクリップボードやローカルコンテンツを読み取る可能性や、中古スマホを売却・修理する際にデータが完全に消去されていない可能性もあります。

もちろん、独立したパスワードと暗号化機能を備えたツールは、通常のフォトアルバムやメモ帳よりも確かに安全かもしれません。しかし、それでもスマホのOS、対応するアプリ、クラウドアカウント、パスワードの強度など、複数の要素を同時に信頼する必要があり、どの一つに問題があっても漏洩につながる可能性があります。

したがって、金額が大きく、長期保有を予定している資産については、シードフレーズを