メインコンテンツへスキップ

MetaMaskユーザー向けの基本的なセキュリティ対策

注記

仮想通貨やweb3は初めてですか?

MetaMask Learnで、web3を初めて使う人のために特別に設計された分かりやすい学習体験を提供しています。 完全に無料で、複数の言語で利用することができ、MetaMaskに慣れるためのシミュレーションなどの便利なツールも含まれています。

シークレットリカバリーフレーズとは何ですか?どのようにバックアップするのですか?

シードフレーズやシークレットリカバリーフレーズ (SRP) の使用は、ほとんどの暗号通貨ウォレットが採用している標準です。 SRPは、MetaMaskウォレットを作成する際にランダムに生成される単語のリストで、ウォレット内のすべてのアカウント(アドレス)へのアクセスを提供します。

ウォレットを初めて作成する際、シークレットリカバリーフレーズを書き留めるか、GoogleアカウントまたはAppleアカウントをMetaMaskに紐付けるように求められます。 どちらのオプションにも関連するSRPがありますが、バックエンドでの機能は異なります。

GoogleアカウントもAppleアカウントもMetaMaskに紐付けない場合、MetaMaskはサーバー上のユーザーの個人情報やプライベートデータを一切管理しません。 すべてがブラウザ上で暗号化され、SRPで保護されています。 MetaMaskアカウントを紛失し、復元が必要な場合は、SRPでのみ復元が可能です。MetaMaskはSRPにアクセスできません。 この場合、SRPはアカウントへのアクセスにおける単一障害点となります。

GoogleアカウントまたはAppleアカウントをMetaMaskに紐付けると、SRPは暗号化され、5つの異なるノードに分散されます。 5つのシャードすべてにアクセスして復号化できるのは、GoogleアカウントまたはAppleアカウントとパスワードのみです。 この場合は、Google/Appleアカウントとパスワードが2つの障害点となります。 このため、Google/AppleのパスワードをMetaMaskのパスワードとして再利用しないようにしてください。 この2つのパスワードはまったく異なるものでなければなりません。 また、パスワードやGoogle/Appleアカウントを紛失した場合に備えて、SRPを安全に保管することもお勧めします。

シークレットリカバリフレーズを保存しなければならない理由

MetaMaskはセルフカストディウォレットです。 SRPにアクセスできれば、誰でもそのすべてのアカウントにアクセスできます。 デバイスの破損や紛失、盗難にあったり、データが破損したりした場合、MetaMaskサポートチームにはSRPを復旧することができません。 SRPの保護方法の詳細については、こちらの記事をご覧ください。

シークレットリカバリフレーズと秘密鍵を誰とも共有しないでください

SRPまたは秘密鍵さえ手に入れば、誰でも資産を管理し、アカウントからトークンを送金できます。 MetaMaskチームやMetaMaskを名乗るすべての相手を含めて、決して誰にも教えてはいけません。

当社がSRPを求めることは決してありません。誰かにそう言われた場合は、絶対に教えないでください。 MetaMaskやMetaMaskサポートチームのメンバーを名乗られた場合や、SRPまたは秘密鍵を求められた場合は、サポートに連絡してご報告ください。 他の人物からSRPや秘密鍵の提供を求められた場合は、資産をすべて盗もうとしている可能性があります。

これは、ウェブサイトやアプリでも同様です。 SRPの入力が本当に必要になるのは、次の場合だけです:

  • ウォレットの初回作成時(フレーズを記録したことを確認するために、フレーズ内の特定の単語の入力を求められるため)。
  • デバイスの変更やMetaMaskの再インストールによりウォレットの復元が必要になった場合、またはパスワードをリセットする場合(同様のプロセス)。

ただし、この2つの状況をまねしようとする詐欺師もいます。 詳細はこちらをご覧ください: 本物のMetaMaskかどうか判断する方法

**アカウントに多額のトークンをお持ちの場合は、ハードウェアウォレット**の取得をご検討ください。

ハードウェアウォレットは、一般的にトークンを保管する最も安全な方法と考えられています。 ハードウェアウオレットは、インターネットからほとんどの時間あるいは常時切断されているため、しばしば「コールド」ウォレットと呼ばれます。 この方法では、トランザクションの署名(承認)にハードウェアウォレット自体が必要になるため、オンラインで秘密鍵が悪意のある人物の手に渡ることは決してありません。

誰にもパスワードを教えないでください

誰にもパスワードを教えてはなりません。なお、この記事ではMetaMaskのパスワードに焦点を当てます。 GoogleアカウントまたはAppleアカウントをMetaMaskに紐付ける場合、アカウントへのアクセスにはパスワードが必須です。

MetaMaskサポートがパスワードの提供を求めることは決してありません。 誰かにパスワードとGoogle/Appleアカウントにアクセスされるということは、お持ちのMetaMaskアカウントすべてにアクセスされるということです。

GoogleアカウントまたはAppleアカウントをMetaMaskに紐付けていない場合、パスワードの機能は異なります。 パスワードを知られても、アカウントへのアクセスは許可されません。 それでも、パスワードは安全に保管し、適切なパスワード管理を実践しなければなりません。

パスワードのベストプラクティス
  • 大文字、小文字、数字、特殊文字を組み合わせた強力なパスワードを使用してください。
  • アカウントごとに異なるパスワードを使用してください。
  • パスワードは安全なオフラインの場所に保管してください。 クラウドサービスやパスワードマネージャーはハッキングされるおそれがあり、パスワードを保管する上で最も安全な方法とはいえません。
  • パスワードは絶対に誰にも教えないでください。

安全すぎるということはありません。 この基本ガイドは、すべてを網羅しているものではありません。 コミュニティ、情報豊富な資料、ディスカッションチャネルから、ご自身のトークンを守るためのより良い方法を常に学び続けましょう。

追加リソース

コンピューターを安全に保つための追加リソースをいくつかご紹介します:

トークンの承認の説明とその重要性

トークンの承認とは、DAppにウォレット内の特定の種類のトークンとトークンの金額にアクセスし、送金することを許可することです。 MetaMaskウォレットでトークンを承認する際は注意しないと、これが原因で、ウォレットが攻撃され、資金が奪われる可能性があります。

これを防ぐために、次のガイドラインに従うようにしてください:

  • 「承認」をクリックする前に、DAppが実際に何を要求しているのか常に確認します。 MetaMaskでは、DAppがアクセスできる金額を調整することもできます。 たとえば、トークンの10%だけアクセスを許可しておけば、仮にDAppが詐欺であったとしても、無制限でアクセスを許可していた場合よりもずっとましな結果になります。
  • ご自身で調査を行ってください(DYOR)。 DAppとやり取りする前にデューデリジェンスを実施する習慣は、6か月前につけておくべきでした。でも今からでも遅くはありません。 スペルミス、質の悪い画像やロゴ、その他の危険信号がないか注意を払いましょう。
  • うまい話には裏があるということをお忘れなく。 年利498,563%のオファーは、危険な香りがします。

トークンの承認とその管理方法に関する詳細については、次の記事をご覧ください。

Was this helpful?