コンテンツにスキップ

セキュリティ⚓︎

暗号資産(仮想通貨)のユーザーは、詐欺師、ハッカー、その他の悪意のある攻撃者の標的になることがよくあります。 一部の攻撃では、なりすましや誤情報などのよく知られた手法が使用されます。 また、ブロックチェーンシステム特有の性質を悪用するものもあります。

このページでは、一般的な脅威と、Symbolの アカウント や資産を保護するための実践的なセキュリティ上の考慮事項を要約します。

このリストは網羅的なものではありません

ユーザーは、セキュリティについてさらに調査し、アカウントを管理する際には常に警戒を怠らないことを強くお勧めします。

重要なポイント⚓︎

  • 委任ハーベスティングの有効化中にトランザクションに署名する場合は、細心の注意を払ってください

    以前、委任ハーベスティングを有効にするユーザーを標的としたスイーピング(資産の抜き取り)攻撃が発生しました。 署名する前に、特になじみのないアドレスへの転送が含まれている場合は、トランザクションを慎重に確認してください。

    完全に理解していないトランザクションには絶対に署名しないでください。

  • 秘密鍵ニーモニックフレーズ は絶対に共有しないでください

    リカバリーフレーズまたはシードフレーズとも呼ばれます。 これらの認証情報により、アカウントを完全に制御できるようになります。 これらにアクセスできる人は、アカウントからすべての資産を転送することができます。

    誰とも共有せず、ウェブサイトや未知のウォレットには絶対に入力しないでください。

  • Symbol Syndicateがサポートのためにユーザーに個別に連絡することは絶対にありません

    コミュニティメンバーやメンテナーが秘密鍵やニーモニックフレーズを尋ねることは絶対にありません。

  • ブロックチェーンの トランザクション は元に戻せません

    一度承認されると、トランザクションを元に戻すことはできず、悪意のある受信者から資金を回収することはできません。

  • バックアップは安全かつオフラインで保管してください

    秘密鍵やニーモニックフレーズのバックアップは、盗難、紛失、または不正アクセスから保護する必要があります。

アグリゲートボンデッドトランザクションによるスイーピング(抜き取り)⚓︎

アグリゲートトランザクション⚓︎

アグリゲートトランザクション には、異なる参加者によって署名された複数の埋め込みトランザクションを含めることができます。 特に、 アグリゲートボンデッドトランザクション が承認されるには、追加の署名が必要です。 したがって、ユーザーは 連署 を追加する前に、トランザクション全体を慎重に確認する必要があります。

スイーピング攻撃⚓︎

スイーピング攻撃では、ネットワークにアナウンスされたトランザクションを監視する自動スクリプトが使用されます。

委任ハーベスティング の有効化など、ターゲットとなるアクションが検出されると、攻撃者はすかさず悪意のある アグリゲートボンデッドトランザクション をアナウンスします。 このトランザクションは元のアクションに関連しているように見えるかもしれませんが、 XYM または他のモザイクを攻撃者に送信する埋め込み転送が含まれています。

被害者がそのトランザクションに署名してしまうと、攻撃者はアカウントを空にすることができます。

トランザクションが正当なプロセスの一部であるように見えるため、被害者は最初、残高の変更は委任ハーベスティングの有効化やその他の保留中の操作に関連していると思い込んでしまう可能性があります。

攻撃シナリオの例⚓︎

  • ユーザーが「すべての鍵をリンク」トランザクションをアナウンスして、委任ハーベスティングの有効化を開始する。
  • 攻撃者がこのトランザクションを検出し、悪意のあるアグリゲートボンデッドトランザクションをアナウンスする。
  • トランザクションには、「Delegated-№234567」などのハーベスティングに関連するメッセージが、攻撃者へのXYMの転送とともに含まれている場合がある。
  • ユーザーのウォレットがボンデッドトランザクションを検出し、ユーザーに確認して連署するように求める。
  • ユーザーがトランザクションに署名すると、XYM残高が攻撃者に転送される。

ウォレットによって、ボンデッドトランザクションの処理方法は異なります。

  • 一部のウォレットでは、ユーザーがアグリゲートトランザクションに連署できないようにしています。
  • 未知のアドレスから発信されたトランザクションを非表示にするものもあります。
  • 詳細をすべて表示せずにユーザーに署名を求めるものもあります。

追加の確認として、署名する前に Symbol Explorer でアグリゲートトランザクションを検査することができます。

以下は、2つの埋め込みトランザクションを含むアグリゲートトランザクションの例です。署名する前に、両方を確認して理解する必要があります。

アグリゲートトランザクション

スプーフィング(なりすまし)⚓︎

概要⚓︎

スプーフィング攻撃は、悪意のある攻撃者が信頼できる個人や組織を装うものです。

目的は通常、ユーザーの 秘密鍵ニーモニックフレーズを取得することです。これにより、攻撃者はユーザーのウォレットを復元し、アカウントを完全に制御できるようになります。

Symbolのウォレットはノンカストディアルです。つまり、ユーザーが自身の鍵を保護する責任を単独で負うことを意味します。

攻撃シナリオの例⚓︎

  • ユーザーが 𝕏 または Symbol Discord で質問をする。
  • 悪意のあるアカウントが公式サポートメンバーになりすましてダイレクトメッセージを送信する。
  • 攻撃者は信頼を得ようとし、ユーザーの秘密鍵やニーモニックフレーズを要求する。
  • 被害者がこれらの認証情報を提供してしまうと、攻撃者はアカウントからすべての資産を転送することができる。

このシナリオはほんの一例であり、公開情報を共有するソーシャルメディアプラットフォーム、メッセージングサービス、またはフォーラム全体で、同様の事件が発生する可能性があります。

保護対策⚓︎

Symbol Syndicateがサポートのためにユーザーに個別に連絡することは 絶対に なく、秘密鍵やニーモニックフレーズを要求することも絶対にありません。

一般的な警告のサインには以下が含まれます。

  • 個人情報またはウォレット情報の要求。
  • ユーザー名がわずかに変更されたなりすましアカウント。
  • サポートスタッフを装うDiscordプロフィール。
  • ウォレットの「検証」または「修復」をすると主張するウェブサイトへのリンク。
  • ダイレクトメッセージへ会話を移すことの要求。

疑わしいと思われるメッセージは、無視するか報告する必要があります。

最も重要なのは、 秘密鍵やニーモニックフレーズは絶対に共有しない ことです。

クリップボードハッキング⚓︎

概要⚓︎

Symbolの アドレス は長いため、手動で入力するのではなく、通常はコピーして貼り付けられます。

クリップボードハイジャックマルウェアは、クリップボードのアクティビティを監視し、コピーされたアドレスを攻撃者のアドレスに置き換えます。 ユーザーがトランザクションにアドレスを貼り付けると、代わりに悪意のあるアドレスが使用されてしまいます。

保護対策⚓︎

トランザクションを承認する前に、必ず宛先アドレスを確認してください。

最新のマルウェア対策ソフトウェアを使用することも、暗号資産のアクティビティに影響を与える前にクリップボードハイジャックマルウェアを検出するのに役立ちます。

バックアップの漏洩⚓︎

秘密鍵ニーモニックフレーズ のコピーがあれば、関連するアカウントにアクセスできるようになります。

したがって、クラウドストレージサービスや安全でないデバイスを介した漏洩を含め、盗難、紛失、または不正アクセスからバックアップを保護する必要があります。