自己管理(セルフカストディ)は一度きりのセットアップではなく、習慣です。あなたの鍵が安全なのは、四半期ごとにあなたが安全に保ち続けているからです。これはあなたの運用セキュリティ(OpSec)チェックリスト、つまり小さなほころびがインシデントになる前に捉えるために、年に4回行う15分の点検です。バックアップは色あせ、拡張機能は溜まり、承認は積み上がり、昨春に信頼していたスマートフォンはやがて売られます。それぞれ単独では緊急事態ではありません。けれども1年の放置を経て重なると、良い設定が静かに腐っていくのはこうしてです。各四半期の初めに静かな夜を確保し、このページを印刷して、上から順にチェックを入れていきましょう。難しいことは何もありません。価値はすべて、何かが起きてからではなく、決まった周期で行う点にあります。
OpSec は、脅威モデルが職業として深刻な人々から借りてきた規律です。EFF の Surveillance Self-Defense ガイドは、その考え方への良い入門になります。暗号資産では、同じ発想がいくつかの問いに絞られます。私の鍵は復元できるか、私のデバイスはクリーンか、自分が署名している内容を理解しているか、そしてウォレットの周りのアカウントは固められているか。SSP の 2-of-2 構成では、すべての送金にすでに SSP Key 上での2つ目の独立した承認が必要なので、1台のデバイスが侵害されただけでは資金を動かせないはずです。しかしその安全網は、両方の半分が健全で独立し続けている場合にのみ保たれます。下のチェックリストは、それらをその状態に保ちます。
毎四半期、これを実行してください。チェックは、やるつもりのときではなく、実際に本当であるときだけ入れてください。
鍵とバックアップ
復元用の素材は、唯一作り直せないものです。だからここから始め、先へ進む前にぐらついている点を直してください。私たちのシードフレーズのベストプラクティスガイドが保管の詳細を扱っています。大丈夫だと思い込んでいるのに1年見ていないバックアップは、自己管理で最もよくある単一障害点です。
- すべてのシードフレーズのバックアップを見つけ、それぞれが物理的に読め、欠けがなく、水・熱・インクの退色で損なわれていないことを確認する。
- バックアップが地理的に離れた少なくとも2か所にあることを確認し、1度の火災・洪水・盗難で両方を一度に失わないようにする。
- SSP の両方の半分がバックアップされていることを確認する。拡張機能のウォレットと SSP Key は、互いに独立して復元できる。
- どのシードフレーズも、これまでスマートフォンに打ち込んだり、撮影したり、メールで送ったり、パスワードマネージャーやクラウドのメモに保存したりしたことがないか確認する。
- バックアップの保管場所を託した相手が今もアクセスできること、そして同じくらい重要なこととして、今もアクセスできるべき相手であることを確認する。
デバイスと拡張機能
クリーンなデバイスは、他のあらゆる対策の土台です。だからブラウザをウォレットの一部として扱ってください。暗号資産ユーザーのためのブラウザ拡張機能の衛生が、たった1つの悪意ある拡張機能が、あなたの署名内容を静かに書き換えられる理由を説明しています。
- OS、ブラウザ、SSP 拡張機能を最新バージョンに更新する。
- SSP Key デバイスを更新し、今もペアリングし、表示し、正しく署名できることを確認する。
- インストール済みのブラウザ拡張機能をすべて見直し、使っていない・見覚えがない・もう保守されていないものを削除する。
- SSP 拡張機能の発行元とストア ID が公式の掲載と一致していること、なりすましのフォークが紛れ込んでいないことを確認する。
- 取引に使うコンピューターとスマートフォンの両方で、信頼できるマルウェアスキャンを実行する。
トランザクションと承認
最近の損失の多くは盗まれた鍵ではなく、数か月前に与えて忘れた署名です。だからrevoke.cashのようなツールで自分が許可した内容を見直し、トークンの承認についての私たちの解説を読み返してください。
- 有効なトークンの承認を見直し、古いもの、無制限のもの、もう使っていない dapp に紐づくものをすべて取り消す。
- 承認する前に、各トランザクションを SSP Key の画面で読むこと(金額・宛先・ネットワーク)を確認する。
- 最近の送金トランザクションを、本当に送るつもりだった内容と照らして、ブロックエクスプローラーで抜き取り確認する。
- 保存済みのコントラクトと dapp のブックマークが、入れ替えられた住所ではなく、本物で最新のアドレスを今も指していることを再確認する。
ウォレットの周りのアカウント
攻撃者が最初にウォレットを破ることはまれで、隣のメールや取引所のアカウントを破って内側へ進んできます。だから CISA の Secure Our World は平易な言葉での土台になり、正しいモバイル 2FAが暗号資産特有の落とし穴を扱います。
- メール・取引所・クラウドのアカウントを、SMS による 2FA から、SIM スワップされない TOTP やパスキーへ移す。
- 暗号資産に関わるすべてのアカウントで、パスワードマネージャーで生成し保存した、固有で強力なパスワードを確認する。
- 保存済みのアドレス帳を見直し、もう自分で保証できないエントリを削除するか、改めて確認する。
- 各アカウントの復元手段(予備メール・電話番号・秘密の質問)を、攻撃者が突破口にできる弱い環がないか確認する。
フィッシングへの備え
フィッシングは、あなたが実際に直面する攻撃であり、ますます巧妙になっています。だから暗号資産ユーザーを狙うフィッシング攻撃で手口を新鮮に保ち、本物の餌が届く前に自分の反射を予行演習しておきましょう。
- 公式の SSP サイトと取引所をブックマークし直し、それらにはそのブックマークからのみアクセスする。検索広告や DM のリンクからは決してアクセスしない。
- 頼んでもいないメッセージ・電話・「サポート」担当者に応じて、トランザクションを承認したりシードフレーズを入力したりすることが決してないことを確認する。
- 最近のメールや DM を見直し、クリックすべきでなかったものがないか確認する。不安があれば該当する認証情報を更新する。
- あなたの資産を共有する相手全員に、SSP も、正規のサポートも、シードフレーズを尋ねることは決してないと念を押す。
復元と相続のリハーサル
一度も試したことのないバックアップは、ただの推測です。だから四半期に一度、当然できると決めつけるのではなく、本当に復元できることを証明してください。ブラウザを失ったときの SSP の復元から始めましょう。
- 「ブラウザ喪失」の訓練を行う。クリーンなプロファイルでバックアップから SSP 拡張機能を復元し、残高が表示されることを確認する。
- 「スマートフォン喪失」の訓練を行う。SSP Key を再設定でき、2-of-2 の承認を最初から最後まで完了できることを確認する。
- 緊急時と相続の際のアクセス(バックアップの場所、必要なもの、連絡先)を、信頼できる人のために文書化する。
- その文書が安全に保管され、信頼できる人がその存在を知っている一方で、秘密そのものを早すぎる段階で知ることはないことを確認する。
印刷し、予定に入れる
チェックリストは、実際に回って初めて役に立ちます。だから記憶に頼るのではなく、次の四半期の点検を自動的に行えるようにしましょう。
- このチェックリストを印刷するか、本当にまた目にする場所にオフラインで保存する。
- 毎四半期同じ週に設定した、繰り返しの四半期リマインダーをカレンダーに入れる。
- 今日の点検を完了した日付と、先送りにしたことを書き留め、次の四半期がちょうどこの四半期の終わった場所から始まるようにする。
