暗号資産ウォレットを作成する際、多くの人がまずシードフレーズをスクリーンショットで保存しようとします。最も早くて便利な方法だからです。しかし、この一見無害な行為は、実際には暗号資産が盗まれる最大の原因の一つです。SlowMistセキュリティチームのデータによると、ウォレット盗難事例の30%以上がシードフレーズの安全でない保管方法に直接関連しており、スクリーンショット保存がその大部分を占めています。
なぜシードフレーズのスクリーンショットは危険なのか?
スクリーンショットはスマホの中の一枚の画像に見えますが、直面するセキュリティ上の脅威は想像以上に多いです。
自動クラウド同期が最大のリスク
iPhoneはデフォルトでiCloud写真の同期が有効になっており、AndroidデバイスはデフォルトでGoogleフォトの同期が有効です。スクリーンショットを撮ってから数秒以内に、シードフレーズの画像はすでにクラウドサーバーにアップロードされています。
クラウドアカウントのリスクには以下が含まれます:
- パスワード漏洩(データベース侵害はますます頻繁に)
- クラウドアカウントを標的としたフィッシング攻撃
- ソーシャルエンジニアリング攻撃
- 共有デバイスによるログイン情報の流出
クラウドアカウントが侵害されると、ハッカーはすべての写真を閲覧し、シードフレーズのスクリーンショットを見つけてウォレットを即座に復元できます。
OCR技術が画像を安全でなくする
現代のマルウェアはOCR(光学文字認識)機能を備えており、スマホのギャラリー内のすべての画像を自動的にスキャンし、英単語を識別してシードフレーズの形式かどうかを判定できます。つまり、シードフレーズが画像としてのみ存在していても、自動的に検出・抽出される可能性があります。
フォトライブラリの権限が広く付与されている
スマホでフォトライブラリにアクセスできるアプリがいくつあるでしょうか?カメラアプリ、SNS、写真編集ツール、ファイルマネージャー…ほぼすべてのアプリがギャラリーへのアクセスを要求する可能性があります。ギャラリー権限を持つ悪意のあるアプリは、シードフレーズのスクリーンショットを密かに読み取ることができます。
スマホでスクリーンショットを撮らなくても危険なシナリオ
以下の一見安全に見える方法も、実際にはリスクがあります:
パソコンでのスクリーンショット:パソコンも悪意のあるコードを含む可能性のあるソフトウェアを大量に実行しており、クリップボードデータやスクリーンショットファイルが監視される可能性があります。
スクリーンショットを自分にメール送信:メールは最も攻撃されやすいターゲットの一つであり、メッセージは通常暗号化されずに保存されます。
スクリーンショットを撮って印刷後に削除:削除前にスクリーンショットがすでに同期またはスキャンされている可能性があり、削除されたデータも復元される可能性があります。
暗号化ギャラリーにスクリーンショットを保存:ほとんどの暗号化ギャラリーアプリはセキュリティ監査を受けておらず、脆弱性が存在する可能性があります。
実際の盗難事例
事例1:iCloud漏洩による100万ドル超の損失
あるユーザーがMetaMaskのシードフレーズのスクリーンショットをiPhoneのフォトライブラリに保存していました。iCloudが自動同期した後、パスワード漏洩によりApple IDが侵害されました。ハッカーはiCloudフォトからシードフレーズのスクリーンショットを見つけ、ウォレットを復元し、約120万ドルの暗号資産を送金しました。
事例2:スマホ修理中の盗難
あるユーザーが画面交換のためにスマホを修理に出しました。修理中に技術者がスマホのフォトギャラリーを閲覧し、シードフレーズのスクリーンショットを発見して写真に撮りました。数日後、ユーザーのウォレットの全資産が送金されました。
事例3:悪意のあるアプリによるギャラリースキャン
あるユーザーが「暗号資産価格トラッカー」アプリをダウンロードしました。ギャラリーの権限を取得した後、アプリは自動的にすべての画像をスキャンし、OCRでシードフレーズを識別しました。24時間以内にウォレットは空になりました。
正しいシードフレーズのバックアップ方法
スクリーンショットを放棄し、以下の本当に安全な方法を使いましょう:
- 紙に手書き:耐水性のペンを使い、各単語と番号を明確に書く
- 金属プレートへの刻印:防火・防水・耐腐食性のプロ仕様シードフレーズ用スチールプレート製品を使用
- 複数バックアップ:少なくとも2部を別々の安全な場所に保管
- 安全な保管場所:金庫、銀行の貸金庫など物理的に安全な場所
- 定期的な確認:数ヶ月ごとにバックアップが無傷で読めることを確認
セキュリティ上の注意
シードフレーズを保護するには、電子的な保管を根本から排除する必要があります:
- シードフレーズを絶対にスクリーンショットしない:スマホでもパソコンでも、スクリーンショットは安全ではない
- 写真の自動クラウド同期を無効にする:少なくともシードフレーズがギャラリーに表示されないようにする
- アプリの権限を監査する:どのアプリがフォトライブラリにアクセスできるか定期的に確認し、不要な権限を削除する
- ウォレット作成時に安全な環境を確保する:画面録画をオフにし、近くにカメラがないことを確認する
- すでにスクリーンショットを保存している場合:直ちに新しいウォレットを作成し、資産を移動し、スクリーンショットを削除する(クラウドのコピーも含む)
- 安全なバックアップの習慣を身につける:手書きバックアップに数分かけることは、何年もかけて蓄積した資産を失うリスクよりはるかに良い
セルフカストディウォレットのセキュリティ管理が複雑すぎると感じる場合は、大手の規制されている取引所に資産を保管することもできます。Binance公式サイトでプラットフォームの専門的なセキュリティ保護を利用するか、Binance公式アプリをダウンロード — iPhoneユーザーはiOSインストールガイドを参照して簡単に管理できます。
スクリーンショットに透かしを入れれば盗難を防げますか?
いいえ。透かしはシードフレーズの認識や使用に影響しません。ハッカーが12/24個の単語とその順序を見ることができれば、ウォレットを復元できます。透かしは「漏洩元の追跡」にしか役立たず、資産の盗難を防ぐことはできません。
スマホのセキュアフォルダにスクリーンショットを入れれば安全ですか?
比較的安全ですが、推奨はされません。Samsung KnoxやHuaweiのプライベートスペースなどのセキュアフォルダは追加の暗号化レイヤーを提供しますが、スマホがroot化やジェイルブレイクされた場合、これらの保護が回避される可能性があります。物理的な媒体(紙/金属プレート)が依然としてより信頼性の高い選択肢です。
スクリーンショットを削除した後、シードフレーズは安全ですか?
完全には安全ではありません。削除されたファイルはデータ復旧ツールで復元できる可能性があり、クラウド同期されたコピーが削除されていない可能性があり、スクリーンショットが存在していた間にマルウェアがすでに内容を読み取ってアップロードしている可能性があります。スクリーンショットがしばらく存在していた場合、最も安全な方法は新しいウォレットを作成して資産を移動することです。
スクリーンショットを暗号化して圧縮するのは有効ですか?
平文のスクリーンショットよりは安全ですが、復旧の複雑さが増し、デバイスが侵害された後に暗号化が破られるリスクも残ります。補助的な手段として電子バックアップを使用する必要がある場合、強力なパスワード付きのVeraCrypt暗号化ファイルが比較的良い選択肢ですが、唯一のバックアップにすべきではありません。