OKX Web3セキュリティチーム：大切な秘密鍵を目のように守る

出典: OKX

「あなたの鍵でなければ、あなたのコインではない（Not Your Keys, Not Your Coins）」— 分散型の自由には、「秘密鍵のセキュリティ」という絶対的なコストが伴います。

2025年7月のChainalysisのレポートによると、ビットコイン（BTC）の17%〜23%が、秘密鍵の紛失やデバイスの破損により永久に休眠状態にあることが示されています。秘密鍵は資産の所有権を表すため、一度紛失するとリセットできず、取り戻すためのカスタマーサービスも存在しません。鍵が流出し、資金が盗まれた場合、回復はほぼ不可能です。オンラインの世界は私たちに自由を与えましたが、同時にすべての責任を私たち自身に課しました。オンラインエコシステムが繁栄するにつれ、さまざまな資産盗難事件が頻発しています。しかし、個人は多くの場合、問題を認識するのが遅すぎ、どこで問題が発生したのかを特定するのに苦労します。秘密鍵が流出したのか？フィッシングリンクをクリックしたのか？マルウェアをダウンロードしたのか？それとも他の操作ミスか？

OKX Web3セキュリティチームは、この教育コンテンツを通じて、皆さんの秘密鍵セキュリティに対する意識を高め、見落とされがちなセキュリティの死角を改めて強調することを目的としています。

1. 秘密鍵やリカバリーフレーズはなぜ流出するのか？

まず、一般的な誤解を正しましょう。多くのユーザーは、秘密鍵やリカバリーフレーズの流出（以下「秘密鍵の流出」）は、通常ウォレットの使用中に発生すると信じています。実際には、公式チャンネルを通じてウォレットをダウンロードし、評判の良いブランドのウォレットを使用している場合、通常の利用中に秘密鍵が流出することはほとんどありません。秘密鍵の流出は、主に不適切な保管や悪意のある者による取得が原因で発生します。 誰かがあなたの秘密鍵を所有すれば、それをどのウォレットにもインポートしてアカウントの資産を制御できてしまいます。

実際、秘密鍵の流出には多くの理由があり、正確な発生源を完全に特定することは困難な場合が多いです。しかし、数多くの業界事例を分析し、調査を支援する中で、いくつかの典型的なシナリオと手がかりをまとめました（以下参照）。

画像：SlowMistのXuandongが共有した秘密鍵盗難分析の課題

2. 一般的な秘密鍵流出シナリオと対策

(1) 最も見落とされがちなシナリオ：ウォレット作成中の流出

事例1：他人によるウォレット作成の支援。 李氏はWeb3の探索を始めたばかりで、「熱心なメンター」の助けを借りてウォレットを作成しました。メンターはウォレット作成、取引パスワードの設定、入金や取引のガイドを行いました。ウォレットには取引パスワードが設定されていましたが、作成プロセス中にメンターはすでに彼の秘密鍵を入手していました。数日後、李氏が入金した5 ETHは瞬く間に転送されました。その時初めて、取引パスワードはローカル検証用であり、秘密鍵を持つ者は誰でもウォレットにインポートして資産を直接転送できることに気づきました。

セキュリティ推奨事項： ウォレットは、他人に「手伝ってもらう」ことや「代行してもらう」ことなく、独立して作成する必要があります。秘密鍵が流出した疑いがある場合は、直ちに資産を新しいウォレットに転送してください。

事例2：ビデオ会議の画面共有によるウォレット作成。 張氏は「先生」の遠隔指導の下、ビデオ会議の画面共有を通じてウォレットを作成しました。先生は、ウォレットのダウンロード、リカバリーフレーズの生成、Gas代のチャージ、トークンの購入までをステップバイステップで実演しました。プロセス全体が非常に「親密」に見え、最後には「秘密鍵は絶対に誰にも漏らさないでください」と念を押されました。しかし、彼女が気づかないうちに、画面共有の瞬間にリカバリーフレーズが記録されていた可能性があります。2週間後、彼女のアカウントにあった約12,000ドル相当のUSDTが転送されました。

セキュリティ推奨事項： ウォレット作成時は、画面共有、画面録画、画面共有機能を無効にしてください。秘密鍵が流出した疑いがある場合は、直ちに資産を新しいウォレットに転送してください。また、秘密鍵とリカバリーフレーズを表示するOKXウォレットのページでは、スクリーンショット、録画、画面共有が許可されておらず、セキュリティが効果的に強化されています。

画像：画面共有が検出されると、OKXウォレットはリカバリーフレーズと秘密鍵を自動的に隠し、他人がテキストを見るのを防ぎます。

(II) 最も一般的なシナリオ：不適切な秘密鍵の保管による流出

事例3：偽アプリ、Androidユーザーの悪夢。 慎重なユーザーだった王氏は、ウォレット作成後にリカバリーフレーズのスクリーンショットを撮り、ローカルのフォトギャラリーに保存し、クラウドにはアップロードしませんでした。しかし、彼はフォーラムから「Telegramの強化版」と称するアプリをダウンロードしました。そのアイコンとインターフェースは公式版とほぼ同じでした。実際には、バックグラウンドでスマホのギャラリーを絶えずスキャンし、OCR（光学文字認識）技術を使用してリカバリーフレーズを識別し、ハッカーのサーバーに自動的にアップロードしていました。3ヶ月後、王氏のアカウントの資産はすべて空になり、5万ドルを超える損失が発生しました。技術分析の結果、彼のスマホには偽のimToken、MetaMask、Google Authenticatorなどの悪意のあるアプリもインストールされていたことが判明しました。

事例4：BOM悪意のあるアプリによるリカバリーフレーズの流出。 2025年2月14日、複数のユーザーがウォレット資産の盗難事件を経験しました。オンチェーンデータ分析の結果、これらの盗難事件はすべて、リカバリーフレーズ/秘密鍵の流出という典型的な特徴を示していました。被害を受けたユーザーを再調査したところ、ほとんどが以前にBOMというアプリケーションをインストールして使用していたことが判明しました。詳細な調査の結果、このアプリケーションは実際には巧妙に偽装された詐欺ソフトウェアでした。悪意のある者は、ユーザーの権限操作を通じて不法にリカバリーフレーズ/秘密鍵の権限を取得し、組織的な資産転送を可能にし、行動を隠蔽しようとしました。

セキュリティアドバイス： 多くのユーザーが「利便性」のために、皮肉にも最も危険な習慣を身につけています。したがって、皆さんに推奨します：1) リカバリーフレーズのスクリーンショットを撮らないでください！ 紙に手書きでコピーし、安全な場所に保管することをお勧めします。 2) アプリをダウンロードする際は、必ず公式チャンネルのみを使用してください。 不明な「強化版」やサードパーティの改造版を簡単に試さないでください。 3) デバイスの異常が検出された場合や、秘密鍵のスクリーンショットを撮ったことがある場合は、運に頼らず、直ちに資産を新しいウォレットに転送してください。 4) OKXは何をしたか？ ユーザーが秘密鍵やリカバリーフレーズのバックアップページでスクリーンショットを撮るのを防ぐため、これらの機密ページでのスクリーンショット機能を無効にしました。

画像：OKXウォレットは秘密鍵とリカバリーフレーズのページでのスクリーンショットを禁止しています。

同時に、ユーザーが偽アプリをインストールするリスクを減らすため、Android版では悪意のあるアプリのスキャン機能を提供しています。

画像：Android版OKXウォレットは悪意のあるアプリのスキャン機能を提供しています。

(III) 最も一般的で騙されやすいシナリオ：秘密鍵のフィッシング

事例5：偽のエアドロップフィッシング。 有名なNFTプロジェクトがTwitterで、保有者に新しいトークンをエアドロップすると発表しました。発表からわずか10分後、Google検索結果のトップに複数のフィッシングサイトが表示されました（有料広告を通じて宣伝）。これらのフィッシングサイトは、ドメイン名が1文字だけ異なる（例：opensea.ioではなくopensae.io）もので、ページデザインは公式ウェブサイトとほぼ同じでした。ユーザーがウォレットを接続すると、ページに「ネットワーク混雑、接続失敗、エアドロップを受け取るにはリカバリーフレーズを手動で入力してください」というプロンプトが表示されました。その日、50人以上のユーザーが詐欺に遭い、合計20万ドル以上の損失が発生しました。最も早い被害者は、リカバリーフレーズを入力してから3.7秒以内に資産が転送されました。

事例6：ソーシャルエンジニアリング攻撃。 張氏はプロジェクトのDiscordグループで操作上の問題を抱えていました。非常に「公式」に見えるアバターとニックネームを持つ管理者が、問題を解決したいというカスタマーサポートを装って、彼女に積極的にプライベートメッセージを送ってきました。彼らは「認証ページ」へのリンクを送りました。管理者を信頼した張氏はリンクをクリックし、指示通りにリカバリーフレーズを入力しました。ページは公式ウェブサイトと全く同じに見えました。数分後、彼女のウォレットから複数の資産が継続的に転送されました。その時初めて、いわゆる管理者が実際には詐欺師であり、ウェブサイトでリカバリーフレーズや秘密鍵を入力するように求める「カスタマーサポート」は間違いなく詐欺であることに気づきました。公式管理者を装うだけでなく、詐欺師は友人、プロジェクトチームのメンバー、またはその他の信頼できる人物を装う可能性があることに注意してください。

セキュリティアドバイス： 合法的なDAppは決して秘密鍵を要求しませんし、信頼できる人物が秘密鍵を要求することもありません。覚えておいてください：秘密鍵はあなたの資産の鍵です。安全に保管し、簡単に開示しないでください。

III. 秘密鍵が流出した場合、なぜウォレットプロバイダーはほとんど何もできないのか？

一部のユーザーは、秘密鍵の流出の疑いや資産の移動を発見すると、直ちにウォレットチームに連絡し、より多くの支援を期待します。しかし実際には、秘密鍵が露出してしまうと、ウォレットプロバイダーが介入できる余地は非常に限られています。

ここで、「資産盗難」の報告を受けた際に私たちが従う基本的なプロセスを簡単に説明し、なぜ多くの場合、オンチェーン資産を直接「回復」できないのかを説明します：

まず、私たちはユーザーが資金の流れを追跡するのを支援し、オンチェーン資金が既知のハッカーグループやアドレスクラスターに関連している可能性があるかを分析します。同時に、さらなる損失のリスクを減らすために、盗まれていない資産を迅速に転送するようユーザーに助言します。大規模な盗難事件の場合、ユーザーが法的手段を通じて地元の法執行機関に支援を求めることを推奨します。内部チームは事件を徹底的に分析し、ハッカーの手口を要約し、将来のユーザー保護のための知見を提供します。

ツールプロバイダーとして、ウォレット自体はオンチェーン資産を凍結したりロールバックしたりすることはできません。 ハッカーが秘密鍵を入手すると、通常は自動化されたスクリプトを使用して数秒以内に資金転送を完了させ、介入が困難な非常に速い速度で進行します。 盗まれた資金が最終的に中央集権的な取引所プラットフォームに流入した場合にのみ、法的手段を通じて一時的な凍結を申請することが可能です。

資金の軌跡が私たちが把握している既知のハッカークラスターと関連している場合、彼らの一般的な手口から始めて、ユーザーが最近高リスクな操作を行わなかったかを確認し、秘密鍵がどの時点で露出した可能性があるかを判断します。

OKXは常にユーザーの資産セキュリティを最優先し、長年にわたりリスク管理システムを構築し、多要素認証メカニズムを設計するために多額の投資を行ってきました。これらのプロセスは面倒に見えるかもしれませんが、すべてはユーザーの資産セキュリティをより良く保護することを目的としています。業界でセキュリティに最も投資しているチームの一つであると言えます。

画像：OKXウォレットのセキュリティスコアは1位

前述の通り、ユーザーのセキュリティ意識が欠如していたり、不適切な慣行を使用している場合、どのウォレットを使用していても、フィッシングや秘密鍵の流出などの理由で損失を被る可能性があります。したがって、秘密鍵を適切に保護することは、常に最も重要なセキュリティの基盤となります。製品自体のセキュリティ機能を継続的に強化することに加え、ユーザーが潜在的なリスクシナリオをより良く特定できるように、事例分析を継続的に強化し、セキュリティのヒントを共有しています。

4. まとめ：秘密鍵のセキュリティのヒント

免責事項：

この記事は参考用です。この記事は、(i) 投資アドバイスや投資推奨、(ii) デジタル資産の購入、売却、保有の提案、勧誘、または誘導、(iii) 財務、会計、法律、または税務アドバイスを提供することを意図していません。デジタル資産（ステーブルコインやNFTを含む）は市場変動の影響を受けやすく、高いリスクを伴い、価値が下落する可能性があります。デジタル資産の取引や保有があなたに適しているかどうかについての質問は、法務/税務/投資の専門家にご相談ください。OKX Web3ウォレットは、サードパーティプラットフォームを発見し、対話できるようにする一種のセルフカストディウォレットソフトウェアサービスに過ぎず、OKX Web3ウォレットは、そのようなサードパーティプラットフォームのサービスを制御できず、それらに対して責任を負いません。すべての製品がすべての地域で利用できるわけではありません。関連する現地の法律や規制を理解し、遵守する責任はあなたにあります。OKX Web3ウォレットおよび関連サービスはOKX取引所によって提供されるものではなく、OKX Web3エコシステムサービス利用規約に準拠します。

この記事は寄稿されたコンテンツであり、BlockBeatsの見解を代表するものではありません。