タグ: 資産管理

TREZOR本体が盗まれてしまった場合、

シードが抜かれてしまう脆弱性が発見されましたので、

その対策方法についてご紹介したいと思います。

ライバルであるLedgerのセキュリティチームによってこの脆弱性を発見されました。

※参照：Ledgerセキュリティチーム

１.脆弱性が発見された経緯

TREZORのファームウェアはオープンソースであり、

Ledgerのセキュリティチームが調査対象としてTREZORの

ソースを評価していた事によって今回の発見へと繋がりました。

昔は内部のプログラムは完全社外秘である事が多かったのですが

（盗まれると全く同じものを作られてしまうため）

近年では、このように部外者がバグや脆弱性などを発見してくれたり、

市場拡大を見込めたりと（真似して作ってくれる人が増えると認知度が上がる）

メリットが大きいため一部のプログラムだけはオープンにしている事が多いのです。

２.シードの引き抜きについて

デバイス本体を盗まれた場合、シードを抜き取るまでの時間は

たった５分で、そのシードを抜き取るための材料費は

たった１００ドルで調達可能である事がわかっています。

さらに２０台のデバイスで検証した結果、１００％の確率で

シードを抜き取ることに成功しています。

つまり、デバイスを盗まれてしまった場合、資産を抜かれてしまうことを意味しています。

この脆弱性はパッチによるアップデートでは改善する事ができません。

パッチによるアップデートを可能にするには、

デバイスの再設計が必要になり現実的ではないからです。

ちなみにパッチとはバグやセキュリティホールを潰すための「修正プログラム」のことです。

３.資産を抜かれないためには

通常、このようにハードウォレットを盗まれた後のことはメーカーも保証していません。

確かに財布を盗まれた後の事を財布メーカーに保証しろっていうのも

変な話です・・・しかし、TREZORでは

パスフレーズを設定する事で対応できる仕様になっているため

なるべく長くて単調ではないフレーズを設定する事で資産を安全に守る事が可能になります。

各個人による対策になってしまいますがぜひ設定をおススメします。

※参照：TREZORのパスフレーズについて

こちらにパスフレーズによるアカウント保護に関する事が書かれています。

一部抜粋して、設定方法をご紹介したいと思います。

４.パスフレーズ設定方法

決められたシードにもう１つだけ自分の決めた５０文字以内のオリジナルの単語を加える事で

セキュリティをさらに強化するというイメージになります。

１．１

「高度」をクリックします。

１．２

「はい、わかりました」にチェックを入れて「パスフレーズによる暗号化を有効化」

をクリックします。

１．３

以下のメッセージが表示されたら、

TREZOR本体に「Do you really want to enable passphrase encryption ？」

と表示されるので確認を押します。

１．４

TREZORをPCから切り離します。

１．５

TREZOR本体で確認します。

１．６

「Where to enter your passphrase ？」「Device」「Host」と表示

されているので「Device」または「Host」のどちらかを選択します。

「Device」の場合はTREZOR本体から入力を行い、

「Host」の場合はブラウザから入力を行うかの違いだけです。

50文字以内のパスフレーズを決定して入力します。

※ブラウザの場合は入力確認も求められます。

これで、パスフレーズの設定が完了しました。

設定後は、シードと同様にパスフレーズも忘れないように管理して下さい。

忘れてしまうと資産を取り出すことができなくなってしまいます。

パスフレーズ設定後、最初の起動ではパスフレーズ設定前の

ウォレットに資産が入っているのでパスフレーズを空の状態で接続してみて下さい。

パスフレーズが空のウォレットからパスフレーズを設定したウォレットへ

資産を移す事でパスフレーズによる管理が可能となります。

本体を盗まれた場合、シードは引き抜かれてしまう可能性が

ありますが、ウォレットに接続するためのパスフレーズがわからなければ

資産を抜かれる事がありませんのでこの設定はなるべくやっておいた方が

いいでしょう。

TREZORの購入はこちらから

大切な資産を守るために、大事なデバイスであるTREZORの購入。

安ければどこで買っていいのだろうか？

TREZOR の購入について、正規代理店の見分け方と正規代理店で購入した方がいい

３つの理由をご紹介します。

1.TREZOR 正規代理店と非正規代理店の見分け方

TREZOR を正規代理店で購入したい！

でもどこで正規代理店を判断したらいいの？

TREZOR を使っている方でも見たことがない方も多いかもしれませんが、

以下のTREZOR 公式サイトでは正規代理店の販売業者がリストアップされており、

一覧に記載されていない業者は、非正規代理店という判断ができます。

※https://trezor.io/resellers/

このように一覧として表示されます。

試しに「RISEST COLTD」をクリックしてみますと、

RISESTの公式ホームページへ飛ぶ事ができます。

※https://hardwallet.store/

この一覧に記載されているサイトで購入すれば間違いなく本物で

安全なのですが、正規代理店で購入した商品を転売している業者の商品も本物なのです。

そして本物でもそのような商品には危険がある事も知っておかなければなりません。

2.TREZOR を正規代理店で買った方がいい理由その１

「偽者リスクがない!」

TREZOR 正規代理店の場合、流通ルートの大元が

チェコにある TREZOR 本社になるため、

仕入れた商品は１００％本物であるという安心があります。

実際にTREZOR の偽者は多く出回っており、偽者を掴まされた場合

セキュリティ面における脆弱さや最悪の場合、秘密鍵さえも販売元に握られている

可能性があるため大変危険です。

秘密鍵が漏れてしまうとハッキングされるリスクが非常に

高くなってしまいます。

中古品に関しても同様の事が言えます。

どうしても安く購入したい場合、

①店舗の所在地や組織体制が明確

②お店の口コミ評価

Amazonや楽天で出品しているから大丈夫だろうと

安易な購入はせずに、上記２点はしっかり調べた上で購入した方がいいかもしれません。

過去に事故を起こしている店舗であればネット上でもなんらかの情報が

アップされている場合もあるので調べてみてはいかがでしょうか。

3.TREZOR を正規代理店で買った方がいい理由その２

「日本語サポート付き!」

本物を並行輸入品として販売している非正規代理店もありますが、

その場合マニュアルが日本語でないため取扱いにくいという難点があります。

慣れると誰でも簡単に操作できるのがTREZORなのですが、

正直、初見でマニュアルを読まずにできるかと言われると

そうではありません。

難しいというよりも正確な設定が求められるため

設定ミスしないためにも読み間違わない日本語での

マニュアルが必要だというニュアンスの方が正しいですかね。

サポート面でも細かい設定などはやはり正規代理店でない場合、

あやふやになることがあり、しかも非正規代理店で購入した商品の場合、

正規代理店では対応ができないため自力で解決するしかなくなります。

4.TREZOR を正規代理店で買った方がいい理由その３

「最新情報をいち早く知る事ができる!」

TREZOR 正規代理店であれば、アップデートや新通貨対応、ハッキングに関する注意喚起、

その他取扱いに関する最新情報が直接入ってくるため確実な情報を

いち早くお客様にお伝えする事ができます。

非正規代理店での購入の場合、基本的に最新情報が入ってくることはありませんので

ネット情報だけを頼りにするしかないのが現状です。

しかも全てがネットに出回るわけでないため中途半端な情報しか

知る事ができず結局よくわからず断念してしまうことになります。

資産を失った後にそんなの知らなかったと後悔しないためにも

正規代理店での購入をおススメします。

本物を低価格で購入できる販売業者は存在します。

だまだ拡大していく市場なので、

機能の追加やアップデートなども多々あると思います。

その場限りで考えれば、どこで購入してもいいのかも知れませんが、

少しの妥協で資産を失ってしまう可能性を考えると、

しっかりとした所で購入する方がいいでしょう。

大事な資産を長く保管するために、

購入後のサポート費用も含まれている正規代理店での購入が

ベストではないでしょうか。

→TREZORの購入はこちらから