ハードウェアウォレットはまだ人類には早すぎた?Ledger Nano Sで注意すべきポイント。
先日ビットコイナー反省会の方で、メジャーなハードウェアウォレットの一つ、Ledger Nano Sの使い方パート①動画を公開しました!
すでに「助かった」「分からなくて困ってたのでありがたい」というようなコメントも来ているようで、非常に励みになりますし、是非もし使い方がわからない、という人がいたら紹介してあげてください。
さて、今回の動画は基本的に全てビールさんにお願いしたのですが、ただし初心者がどこでつまづいているのか、セキュリティーの面に関してもっと強調しないと絶対パスフレーズをメモらない人も出てくるよね、など内容に関しては自分の方でもコメントしたりしましたし、正直最初想定したよりかなりてこずりました(まあ主にビールさんにやってもらってるだけだけどw)
今回改めて思ったのは、日本では仮想通貨がかなり一般化してきているものの、安全に仮想通貨を扱うためのハードウェアウォレット、というよりウォレット全般がまだまだ一般の知識があまり深くない人たちにとって敷居が高すぎるということです。
…さすがに首からぶら下げてファッションにするほどまだ自分は一体化はできてはいませんが…、自分もハードウェアウォレット愛好家というか、無駄にLedger Nano Sも複数持ってます。クリプト関連のものに関してはむしろ使い方が難解であればあるほど燃えるというか、楽しいみたいなところもあるのですが(笑)、初心者にとっては落とし穴でしかないハードウェアウォレット、特にLedger Nano Sで注意すべきポイントを何点か紹介しておきます。
(なお、パスフレーズやPINコードをなくすとまずい、などの基礎的な注意点は上記のチュートリアル動画ですでに解説しています)
1.ファームウェアアップデート時にパスフレーズを再入力させられる。
ハードウェアウォレットはセキュリティーアップデートなど、頻繁にファームウェアのアップデートがあるのですが、Ledger Nano Sはファームウェアアップデートをする度にパスフレーズを再入力させる鬼仕様となってます。
この時点でパスフレーズをちゃんと記録してない人は詰みます。いわゆる美しいセルフGoxの典型例ですね。仮にきちんとパスフレーズをメモっていたとしてもやはりパスフレーズを再入力させられるのはナーバスになりますし、また記録に問題がなくとも、24英単語からなるパスフレーズ(or リカバリーシード)をLederの端末に打ち込む作業はかなり辛くて自分も涙目になった記憶があります。
Trezorなどではファームウェアのアップデートでパスフレーズの再入力を要求されることはなく(稀にあるそうですが)、セルフGoxの被害の予防やUXの向上の面でも是非Ledgerに改善して欲しいですね。
2.コインごとの「アプリ」インストール
Trezorと比べてLedger Nano Sはクローム用のウォレットプラグインやプラグインマネージャーをインストールする必要があり、とりあえずごちゃごちゃしていてややこしいです。また、Ledger1台で管理できるコインの数は4つまでに限定されるという謎に優しくない仕様になっており、多種のコインを持っている人にとってはちょっと残念ですね
(まあその分複数台買えということなのかもしれないですね。自分は4台とか無駄に持ってるのでいいんですが、そんな人は多くない…)
なお、ここら辺についてもビットコイナー反省会の方でLedger Nano Sパート②の動画を近日公開予定で、アルトコインの管理方法についてもチュートリアル動画を公開するので、ご期待ください。
3.使用方法の説明が「ここのサイト行って、後は頑張れ」みたいになってる笑
複数アプリをインストールする必要があったり、また端末上でも初心者には慣れていない特殊な操作が必要だったり、なかなか学習コストが高いのですが、公式の使用ガイドなどは、「ここに行って、後は頑張れ!」みたいな思い切ったミニマリスト仕様になっています笑
ハードウェアウォレットの重要性や基本的な仕組みを理解しているビットコイナー的な人たちであればそこまで難しくないのかもしれないですが、もう少し細かい説明がないと多分自分が何をやっているのか全くわかってない人たちも少なくないと想像します。
今回動画作成している時に発覚したのですが、初心者は「SegWitとは何ですか?」などというレベルではなく、そもそも「BitcoinとBitcoin Cash、EthereumとEthereum Classicって違うんですか?」など、もはや自分が持っているコインが何なのかわからない、みたいな人たちもいるようで(さすがにそれはちょっと、え!?、と思いましたが)、やはり界隈特有の用語や基本的な仕組みの理解などを前提に話さない方がいいことが多くなってきてますね。
まあこれはLedgerだけの問題ではなく、業界全体の問題と言えますけど。
4.そもそも在庫がなくて買えない笑
そしてある意味最大の鬼ポイントが、そもそもハードウェアウォレットが世界的に在庫が少なく、買おうと思っても買えない、もしくは二次市場でめちゃくちゃ高額で購入するしかない、ような状況になっていることです。
少し高い値段で買うくらいなら必要ならまだいいのですが、ハードウェアウォレットの転売市場では本体が改造されていて、パスフレーズを盗まれるようになっていたり、「セットアップ完了してます」とか言って、何のことかよくわかってない初心者に使用済みのパスフレーズを使わせ、コインが集まった時点で中のお金を引き抜いたりするケースがすでに報告されているのでお気を付けください。
ハードウェアウォレットに関しては不良品とかいうレベルではなく、入手経路を間違えると全クリプト資産持ってかれる、などの事態もあり得るので、そもそも入手するまでの時点でも落とし穴があります。
なお、公式も現在在庫がほとんどないようですが、日本だとこちらのサイトが公式代理店(の一つ)になっており、在庫も他のところと比べると豊富なようなので、比較的信頼度が高いと思います。
(最終的には自分でリスクなども考えて欲しいですが)
ちなみにまさかここまでハードウェアウォレットが世界的に売れる事態になるなんて、2年前とかに「Trezorデコったウェーイ」とかやってた時は想像もしませんでした…
5.ハードウェアウォレットのセキュリティーも完ぺきではない
最後に、比較的簡単にコールド環境を作れるセキュアなツールとして自分もハードウェアウォレットの使用を推していますが、それでもまだハードウェアウォレットも完ぺきではありません。
例えば先日、Ledger Nano Sのプラグインに対するいわゆる「中間者攻撃」(Man in the Middle Attack)が成功したという話が出ました。
簡単に言えば、前述のLedger Nano Sのクロームプラグインの送金先アドレスをマルウェアでハッカーのアドレスにこっそり書き換える、と言った攻撃方法で、気づいてないユーザーは自分のアドレスに送ったと思ったコインが、気づいたら別のアドレスに勝手に送られていた、ということが起こりえるわけです。
ただし、ハードウェアウォレットではすでにこういう攻撃に対する対策も考えられており、基本的にはLedger Nano Sのスクリーンに表示されたアドレスが、本当に自分が送ろうとしているアドレスなのかきちんと確認することで、上記の攻撃は防げる可能性が高いです。実際には送金する時に毎回スクリーンを確認している人はそこまで多くないと思いますが、特に大きな金額を送金する時などは念の為きちんと確認した方がいいでしょう。
他にも色々ハードウェアウォレットに対する攻撃方法は考えられ、それらへの対策も日々アップデートされているのですが、ハードウェアウォレットの仕組みを理解していない初心者にとっては自分で対策を考えたり、実践するのはかなり難しいのも事実でしょう。
結論
ハードウェアウォレットはまだまだ使いづらい点や落とし穴も多い。
ただし、大きな額を取引所に置きっぱなしにしていたり、全財産をモバイルウォレットなどのいわゆるホットウォレットに置いておくより何倍もマシなので、最低限の使い方やセキュリティーのリテラシーを身に着けて、自分の資産を失ったりしないように理解できるように頑張りましょう。
本当は「何も考えなくても、これを使えば絶対に安全です」という分かりやすいものがあればいいんですが、そういうものはまだこの世界には存在しないですし、暗号通貨のセキュリティーに関するものはもしかしたら永遠にそういう「完璧な利便性と完璧なセキュリティー」を両立したものは出てこないかもしれないので。
また、もし上記のような話を含む、ハードウェアウォレットの仕組みや留意点、比較などについてももう少し詳しく知りたい人は、ビットコイン研究所の方でハードウェアウォレットについて決定版の比較、解説レポートを公開しているので、興味があれば検討してみてください。