MyEtherWallet(MEW・以下、マイイーサウォレット)のサーバーの一部がハッキング事件にあったことが話題になっています。そこで、本日はマイイーサウォレットのハッキング対策について記事にしたいと思います。
※旧バージョンからの方法になります。
マイイーサウォレットのサーバーがハッキング
⅕ Google Domain Name System registration servers were hijacked earlier today at roughly 12PM UTC so that MEW users were redirected to a phishing site. This redirecting of DNS servers is a decade-old hacking technique that aims to undermine the Internet’s routing system.
— MyEtherWallet.com (@myetherwallet) 2018年4月24日
先日、ETH系のトークンが全て無料で管理できるマイイーサウォレットのDNSサーバーの1/5がハッキングされました。DNSサーバーとはインターネットとマイイーサウォレットを繋ぐ中間のサーバーのようなものです。
10年前ほどの手法でハッキングされたそうで、ハッキング中にログインしたユーザーはアクセスしたユーザーは、知らぬうちにフィッシングサイトへ誘導されていたとのことです。
ハッキングの技術的な説明は上記事に記載されています。マイイーサウォレットのセキュリティ上の問題というわけではなく、公共のDNSサーバーの脆弱性の結果と予測されています。
It seems that everything is now back to normal, BUT PLEASE STAY SAFE and read/share this guide: https://t.co/uBlsJ8IoNw
— MyEtherWallet.com (@myetherwallet) 2018年4月24日
公式の声明を見ると日本には影響がなかったとのことです。
It seems that everything is now back to normal, BUT PLEASE STAY SAFE and read/share this guide: https://t.co/uBlsJ8IoNw
— MyEtherWallet.com (@myetherwallet) 2018年4月24日
現在は問題を解決済ということですが、被害にあわないために上ツイートのリンク先のこのガイドを読んで共有してくださいと公式から声明があります。
MyEtherWallet(マイイーサウォレット)のハッキング対策
ローカルに保存して使う
そもそも論ですが、ハッキングは、オンラインで(インターネットに接続して)使うのでハッキング被害にあいます。 コインチェックさんのNEMのハッキング事件もコールドウォレットを使っていなかったために起こりました。
ローカル保存とは、オフライン(インターネットに接続していない状況)で使用するために、デバイス( コンピューターを構成するあらゆる装置・部品の総称)にローカルに保存されたファイルを参照します。
ややこしい話ですが、インターネットに接続されていないオフライン上で使えるようにローカルに保存して使うという方法があります。
⅘ Some advice for our users: run a local (offline) copy of MEW platform. Use hardware wallets to store your cryptocurrencies. IGNORE any tweets, Reddit posts, or ANY messages which claim to be giving away or reimbursing ETH on behalf of MEW.
— MyEtherWallet.com (@myetherwallet) 2018年4月24日
公式もローカルを推奨していますね。
上のパンダさんのブログにやり方が記載されています。
正しいサイトか確認する
毎回グーグル検索をしてマイイーサウォレットへいくのは、広告にある詐欺サイトに誘導されてしまう可能性がありますので危ないです。
よって、ブックマークをしてログインされている方が多いと思います。
しかし、今回はブックマークをしていても正しいサイトが見られなかったという報告もあります。よって、本当に正しいサイトMyEtherWallet.com(https://www.myetherwallet.com/)なのか確認します。
URL(アドレス)、SSL(アドレスの左の鍵マーク)、v3.9.9.5等を確認してみてください(district0xのみ)。詐欺サイトを簡単に見つけ出す1つの良い方法です。
後はあなたのアドレスを確認してみてください。AddressIcon(あなたの住所に対応するカラフルな色の塊)をクリックすると住所が2か所で一致するかどうかを確認できます。この場合、0xF80で始まります。
MyEtherWallet(マイイーサウォレット)の公式情報を確認
ツイッター:MyEtherWallet.com (@myetherwallet) | Twitter
使用前に問題が起こっていないか公式情報を確認します。
情報がはやく即効性のあるツイッターが良いと思います!
ハードウェアウォレットを購入する
個人用のハードウェアウォレットを購入して保存します。個人用であれば狙われにくいです。犯人は一気にお金が奪える取引所や、マイイーサウォレットなど大きな所を狙うほうが効率が良いからです。
ただし、現在は日本製の個人用ハードウェアウォレットがありません。よって、海外のハードウェアウォレットを使用することになります。
↑ 僕はここでLedgerNano Sというハードウェアウォレットを購入させて頂きました。英語がよくわからない方はおススメです。ちゃんと本家と提携している会社さんが日本語(サポート付)で販売されています。
アマゾンでも販売していますが、詐欺が横行していますのでアマゾンからは購入していません。
他にも有名なLedgerNano SやTREZOR等は、日本語対応の日本の代理店もありますが、正規代理店かどうか等の販売会社情報必ず確認されることを推奨します。
しかし、仮想通貨の相次ぐハッキング事件を聞くと、やはり、仮想通貨はまだ初期段階なんだなと感じています。今回の事件もオンラインに繋がなければ被害にあわなかった事からウォレットに入れたらオフライン上で放置が1番良さそうです。
コメント