はじめに: OKX Web3 ウォレットは、さまざまな種類のオンチェーン セキュリティ問題に対する特別な回答を提供するために、「セキュリティ特別問題」コラムを特別に企画しました。ユーザーの身近で起こっている最も現実的な事例を通じて、セキュリティ分野の専門家や機関と連携し、さまざまな視点からの疑問を共有・回答することで、安全な取引ルールを浅いところから深いところまで整理・まとめ、ユーザーの安全性の強化を目指します。ユーザーが秘密鍵とウォレット資産のセキュリティを自分から守る方法を学ぶための教育と支援。
Web3の世界でサーフィン、お金が2つも貯まらない
1 つの金額はチェーン上でガスを引き渡すためのもので、もう 1 つの金額はオフチェーンで機器を購入するためのものです。
しかし、オンチェーンであろうとオフチェーンであろうと、セキュリティは同様に重要です~
今号はセキュリティ特集の第04回目で、暗号化ハードウェアウォレットプロバイダーのOneKeyセキュリティチームとOKX Web3ウォレットセキュリティチームを特別に迎え、実践ガイドの観点からデバイスのセキュリティに「バフ」を加える方法を教えていただきます。 。
OneKey セキュリティ チーム: 2019 年に設立された OneKey は、セキュリティに重点を置いたオープンソースのハードウェア ウォレットおよびソフトウェア ウォレットの会社であり、セキュリティ攻撃および防御のラボも備えており、Coinbase、Ribbit Capital などの第一線の機関からのサポートを受けています。トンボ。現在、OneKey ハードウェア ウォレットは、アジアで最も売れているハードウェア ウォレット ブランドの 1 つになりつつあります。
OKX Web3 ウォレット セキュリティ チーム:皆さん、こんにちは。このことを共有できることをとても嬉しく思います。 OKX Web3ウォレットセキュリティチームは、ユーザーに製品を提供するために、ウォレットセキュリティ機能の構築、スマートコントラクトのセキュリティ監査、オンチェーンプロジェクトのセキュリティ監視など、Web3分野におけるOKXのさまざまなセキュリティ機能の構築を主に担当しています。セキュリティ、資金セキュリティ、トランザクションセキュリティなど。複数の保護サービスがブロックチェーン全体のセキュリティエコロジーの維持に貢献します。
Q1: ユーザーの実機リスク事例をいくつか教えていただけますか?
OneKey セキュリティ チーム: Web3 ユーザーが関与するデバイス リスクのケースは多岐にわたります。一般的なケースの例をいくつか挙げてみましょう。
ケース 1: ユーザーのアリスがデバイスを離れた後、彼女の知らないうちに周囲の誰かによってデバイスが物理的に侵入され、彼女の資産が盗まれました。これは、コンピュータ セキュリティの分野では「邪悪なメイド攻撃」と呼ばれることがあり、ユーザーが遭遇する最も一般的なタイプのデバイス リスクの 1 つです。
「育毛スタジオ」の同僚も、部屋の掃除をしてくれるおばさんも、枕元に寄り添う人も、みんなお金が目的の攻撃者かもしれません。私たちは以前、ハードウェアウォレット内の資産の盗難を追跡するユーザーを支援しましたが、ユーザーが犯罪を報告した後、報告した取引所は最終的に攻撃者が使用した取引所アカウントのKYCを取得しました。ことわざにあるように、「何事にも気をつけろ。家庭内泥棒を防ぐのは難しい」。
ケース 2 では、ユーザーのボブは物理的に強制され、資産管理権限を持つデバイスを引き渡さなければなりませんでした。これには、暗号化サークルでは「$5 レンチ攻撃」というとんでもない名前が付けられています。
近年、仮想通貨の資産効果の出現により、特に犯罪率の高い国では、富裕層をターゲットとした誘拐や恐喝がますます激化しているようです。 2023年の初め、オフライン取引の仮想通貨が盗難されたとメディアが報じた。被害者はオフラインのデジタル通貨投資家集会に出席し、食後車内で取り締まられたが、犯人らは被害者の顔認証を利用して携帯電話とウォレットのソフトウェアのロックを強制的に解除し、ウォレット内の仮想通貨を410万USDTと交換し、すぐに送金した。資金を受け取って出発します。最近では、仮想通貨マイニングのOGが、国際的な犯罪グループに強盗に遭い、生涯かけて蓄積してきた仮想通貨資産のほとんどを強奪されたと発言したこともTwitterで話題になった。
OKX Web3 ウォレット セキュリティ チーム:今日のトピックは非常に良いものです。以前、秘密キーのセキュリティ、MEME トランザクションのセキュリティ、その他の多くのオンチェーン セキュリティのトピックについて話しました。実際、デバイスのセキュリティも非常に重要です。いくつかの古典的なケース。
ケース 1: 改ざんされたハードウェア ウォレット
ユーザー A は、未承認のプラットフォームからハードウェア ウォレットを購入し、検証せずに使用を開始しました。実際、ウォレットのファームウェアは改ざんされており、複数のニーモニック フレーズ セットが事前に生成されています。エンドユーザーがハードウェアウォレットに保管していた暗号資産がハッカーによって完全に管理され、多額の損失が発生しました。
予防策: 1) ユーザーは、公式または信頼できるチャネルからハードウェア ウォレットを購入するようにしてください。 2) ウォレットを使用する前に、ファームウェアの安全性を確保するために完全な公式検証プロセスを実施してください。
ケース 2: フィッシング攻撃
ユーザー B は、「ウォレット セキュリティ センター」から、ユーザーのウォレットにセキュリティ上の問題があることと、セキュリティ アップデートのためのウォレットの回復フレーズを入力するようユーザーに求める電子メールを受け取ります。実際、これは巧妙に設計されたフィッシング攻撃であり、ユーザーは最終的にすべての資産を失いました。
注意事項: 1) ユーザーは、未検証の Web サイトで秘密キーや回復フレーズを決して入力しないでください。 2) ハードウェアウォレットの画面を使用して、すべての取引および操作情報を確認します。
ケース 3: ソフトウェアのセキュリティ
ユーザー C が未確認のチャネルからマルウェアをダウンロードし、ウォレット操作を実行したところ、ソフトウェアには悪意のあるロジックが含まれており、その結果、資産が損失されました。
予防策: 1) ユーザーは公式チャネルからソフトウェアをダウンロードし、関連するソフトウェアとファームウェアを定期的に更新します。 2) ウイルス対策ソフトウェアとファイアウォールでデバイスを保護します。
Q2: ユーザーとリスクの種類が一般的に使用する物理的な設備と施設
OneKey セキュリティ チーム:ユーザー資産のセキュリティに関与するデバイスには通常、ユーザーの携帯電話、コンピュータ、ハードウェア ウォレット、USB ストレージ デバイス、ネットワーク通信機器 (WIFI など) が含まれます。
デバイスを離れる際に前述した「Evil Maid Attack」および暴力犯罪「$5 Wrench Attack」に加えて、以下に特に注意が必要な点をいくつか追加します。
1. ソーシャル エンジニアリングとフィッシング攻撃
ソーシャル エンジニアリング攻撃とフィッシング攻撃は、現在非常に一般的で効果的な攻撃手法であり、攻撃者は人間の弱点を利用してユーザーを騙し、危険な操作を実行させます。たとえば、悪意のあるフィッシング リンクや添付ファイルを使用すると、攻撃者は、銀行通知やソーシャル メディア プラットフォームからの警告など、信頼できるソースを装って、悪意のあるリンクを含む電子メール、テキスト メッセージ、またはソーシャル メディア メッセージを送信する可能性があります。ユーザーがこれらのリンクをクリックするか添付ファイルをダウンロードすると、デバイスにマルウェアが埋め込まれ、デバイスがリモートから侵害される可能性があります。
別の例として、攻撃者はテクニカル サポート担当者になりすまして、ユーザーに電話または電子メールで連絡し、デバイスに問題があるため早急な対応が必要であると主張する可能性があります。これらは、ユーザーに自分のデバイスへのリモート アクセスを提供したり、機密情報を開示したりするよう誘導する可能性があります。現時点では、Twitter で仮想通貨関連の用語に言及している限り、すぐにボットの軍隊がやって来て、テクニカル サポートのふりをして「サービス」を提供してきます。
2. サプライチェーン攻撃
サプライ チェーン攻撃は、攻撃者がデバイスの製造中または輸送中に悪意のあるマテリアルをデバイスに挿入したときに発生します。具体的な症状としては以下の3点が挙げられます。
1 つ目はハードウェアの改ざんです。攻撃者はハードウェア ウォレットや USB ストレージ デバイスの製造プロセスにマルウェアを挿入する可能性があります。たとえば、信頼できない販売元からハードウェア デバイスを購入したユーザーは、情報を盗んだりリモート アクセスを許可したりするマルウェアがプレインストールされている改ざんされたデバイスを受け取る可能性があります。
2番目はソフトウェアの改ざんです。攻撃者はデバイスのソフトウェア サプライ チェーン内で活動し、ソフトウェアまたはファームウェアのアップデート パッケージを改ざんする可能性があります。ユーザーがこれらの更新をダウンロードしてインストールすると、デバイスがバックドアまたは他の種類の悪意のあるコードに感染する可能性があります。
3 つ目は物流攻撃です。輸送中に攻撃者がデバイスを傍受し、改ざんする可能性があります。たとえば、ハードウェア デバイスは配送中に交換または改ざんされる可能性があり、攻撃者がその後の攻撃を実行しやすくなります。
3. 中間者攻撃
中間者攻撃 (MITM) とは、二者間の通信中に攻撃者がデータ送信を傍受し、改ざんすることを指します。
たとえば、ユーザーが暗号化されていないネットワーク通信を使用すると、攻撃者は送信中のデータを簡単に傍受し、改ざんすることができます。つまり、暗号化されていない HTTP Web サイトを使用すると、攻撃者はユーザーが送受信したデータを傍受し、改ざんする可能性があります。
もう 1 つの例は、公衆 Wi-Fi を使用する場合、ユーザーのデータ送信が攻撃者によって傍受される可能性が高くなります。攻撃者は悪意のある公共 WIFI ホットスポットを設定することもでき、ユーザーが接続すると、ログイン認証情報や銀行取引記録などのユーザーの機密情報を監視して盗むことができます。極端な場合には、自分の WIFI がハッキングされ、マルウェアがインストールされる可能性があります。
4. サードパーティによる内部攻撃とソフトウェアの脆弱性
サードパーティの内部攻撃とソフトウェアの脆弱性は、ユーザーが制御するのが難しいリスクですが、物理デバイスのセキュリティに重大な影響を与える要因です。
最も一般的なのは、ソフトウェアおよびハードウェアのセキュリティの脆弱性です。これらの脆弱性は、攻撃者によってリモート攻撃や物理バイパス攻撃を実行するために悪用される可能性があります。たとえば、一部のプラグインやアプリケーションには、攻撃者がデバイスを制御できるようになる未発見の脆弱性がある可能性があります。通常、これはセキュリティ更新プログラムを継続的に適用することで解決できます。同時に、ハードウェアでは最新の暗号化チップの使用を考慮する必要があります。
ソフトウェア側の内部関係者による活動: ソフトウェア開発者またはサービス プロバイダーの内部関係者は、アクセス権を悪用して悪意のある活動を行ったり、ユーザー データを盗んだり、ソフトウェアに悪意のあるコードを埋め込んだりする可能性があります。または、悪意のあるアクティビティにつながる外部要因が原因である可能性があります。
例えば、特定のマルチフィンガープリントブラウザの使用により「Lumao Studio」から資産が盗まれる事件が発生しました。これはソフトウェアまたはプラグインの内部悪によって引き起こされた可能性があります。これは、正規のソフトウェアであっても、内部管理が厳格でないとユーザー資産のセキュリティに脅威を与える可能性があることを示しています。
別の例として、Ledger は以前にパニック発作を起こしました。多くの DAPP で使用されている Connect Kit に問題がありました。この攻撃は、元従業員がフィッシング攻撃の被害に遭い、攻撃者が Connect Kit の GitHub リポジトリに悪意のあるコードを挿入した後に発生しました。幸いなことに、Ledger のセキュリティ チームは問題の通知を受けてから 40 分以内に修正プログラムを展開し、Tether は時間内に攻撃者の USDT 資金を凍結しました。
OKX Web3 ウォレット セキュリティ チーム: ユーザーが一般的に使用するいくつかの物理デバイスを要約し、それらが引き起こす可能性のある潜在的なリスクについて詳しく説明します。
現在のユーザーが一般的に使用している物理デバイスには主に次のものが含まれます。 1) 分散型アプリケーション (dApps) へのアクセス、暗号通貨ウォレットの管理、ブロックチェーン ネットワークへの参加などに使用されるコンピューター (デスクトップおよびラップトップ)。 2) dApps へのモバイルアクセス、暗号ウォレットの管理、取引の実行のためのスマートフォンとタブレット。 3) ハードウェア ウォレット、特殊なデバイス (Ledger、Trezor など) は、ハッカーの攻撃を防ぐために暗号通貨の秘密キーを安全に保管するために使用されます。 4) ネットワーク接続の安定性とセキュリティを確保するためのネットワーク インフラストラクチャ、ルーター、スイッチ、ファイアウォール、その他の機器。 5) ブロックチェーン ノードを実行するソフトウェア デバイスであるノード デバイス (パーソナル コンピュータまたは専用サーバー) は、ネットワーク コンセンサスとデータ検証に参加します。 6) コールド ストレージ デバイス、オンライン攻撃を防ぐために、USB ドライブ、ペーパー ウォレットなど、オフラインで秘密キーを保存するために使用されるデバイス。
現在の物理機器から発生する可能性のある潜在的なリスクには次のようなものがあります。
1) 物理的設備のリスク
• 機器の紛失または破損: ハードウェア ウォレットやコンピュータなどの機器の紛失または破損により、秘密鍵が失われ、暗号資産にアクセスできなくなる可能性があります。
• 物理的侵入: 犯罪者は物理的手段でデバイスに侵入し、秘密鍵や機密情報を直接入手します。
2) サイバーセキュリティリスク
• マルウェアとウイルス: マルウェアはユーザーのデバイスを攻撃して、秘密鍵や機密情報を盗みます。
• フィッシング攻撃: 正規のサービスを装い、ユーザーをだまして秘密キーやログイン認証情報を提供させます。
• 中間者攻撃 (MITM): 攻撃者がユーザーとブロックチェーン ネットワーク間の通信を傍受し、改ざんします。
3) ユーザーの行動リスク
• ソーシャル エンジニアリング攻撃: 攻撃者はソーシャル エンジニアリング手法を使用して、ユーザーをだまして秘密キーやその他の機密情報を漏洩させます。
• 操作上のエラー: ユーザーは資産の取引または管理時に操作上のエラーを犯し、資産の損失につながる可能性があります。
4) 技術的リスク
• ソフトウェアの脆弱性: dApp、暗号通貨ウォレット、またはブロックチェーン プロトコルの脆弱性は、ハッカーによって悪用される可能性があります。
• スマート コントラクトの脆弱性: スマート コントラクト コードの脆弱性は、資金の盗難につながる可能性があります。
5) 規制および法的リスク
• 法的遵守: 国や地域が異なれば、暗号通貨やブロックチェーン技術に対する規制ポリシーも異なり、ユーザーの資産の安全性や取引の自由に影響を与える可能性があります。
• 規制の変更: 政策の突然の変更により、資産の凍結や取引制限が生じる可能性があります。
Q3: 秘密鍵のセキュリティにはハードウェア ウォレットが必須ですか?秘密鍵のセキュリティ保護対策にはどのような種類がありますか?
OneKey セキュリティ チーム:もちろん、ハードウェア ウォレットが秘密キーのセキュリティの唯一の選択肢ではありませんが、確かに秘密キーのセキュリティを強化する非常に効果的な方法です。その最大の利点は、秘密キーを生成、記録、毎日の保存に至るまでインターネットから隔離し、ユーザーがトランザクションを実行する際に物理デバイス上でトランザクションの詳細を直接検証および確認する必要があることです。この機能は、マルウェアやハッカーの攻撃によって秘密キーが盗まれるリスクを効果的にブロックします。
まずはハードウェアウォレットの利点について話しましょう。
1) 物理的分離: ハードウェア ウォレットは、ネットワークに接続されたコンピューターやモバイル デバイスから完全に分離された専用デバイスに秘密キーを保存します。これは、たとえユーザーのコンピュータや携帯電話がマルウェアに感染したとしても、秘密鍵はインターネットに接触することがないため安全であることを意味します。
2) トランザクションの検証: ハードウェア ウォレットを使用してトランザクションを実行する場合、ユーザーはデバイス上でトランザクションの詳細を直接確認および検証する必要があります。このプロセスにより、攻撃者がユーザーのオンライン アカウント情報を取得したとしても、許可なく資産を転送することは不可能になります。
3) セキュリティチップ: 多くのハードウェアウォレットは、専用のセキュリティチップを使用して秘密鍵を保存します。これらのチップは、物理的なサイドチャネル攻撃から効果的に保護するために、CC EAL 6+ (OneKey Pro や Ledger Stax などの新しいハードウェア ウォレットで採用されている標準) などの厳格なセキュリティ認証を受けています。セキュリティチップは不正アクセスを防ぐだけでなく、電磁波解析や電力解析攻撃など、さまざまな高度な攻撃手法にも耐えます。
ハードウェア ウォレットに加えて、秘密キーのセキュリティを強化する方法は数多くあり、ユーザーは自分のニーズに応じて適切なソリューションを選択できます。
1) ペーパーウォレット: ペーパーウォレットは、秘密鍵と公開鍵を紙に印刷するオフラインの保管方法です。この方法は完全オフラインで簡単ですが、防火、防湿、紛失防止などの物理的なセキュリティに注意する必要があります。可能であれば、物理的な録音用の金属テンプレートを購入するのが最善です (OneKey の KeyTag など、市場には多くのオプションがあります)。
2) 携帯電話のコールド ウォレット: コールド ウォレットとは、オフラインの携帯電話やコンピューターなど、完全にオフラインで保存されている秘密鍵または暗号化された資産を指します。ハードウェア ウォレットと同様に、コールド ウォレットもサイバー攻撃から効果的に保護できますが、ユーザーはこれらのデバイスを自分で設定および管理する必要があります。
3) 共有暗号化ストレージ: 共有暗号化ストレージは、秘密キーを複数の部分に分割し、異なる場所に保存する方法です。攻撃者が秘密鍵の一部を入手しても完全な復元はできません。この方法では、攻撃の難易度が高まるためセキュリティが向上しますが、一部のフラグメントの損失により秘密キーを回復できなくなることを避けるために、ユーザーは各秘密キーのフラグメントを管理する必要があります。
4) マルチ署名 (マルチシグ): マルチ署名テクノロジでは、転送操作を完了するためにトランザクションに署名するために複数の秘密キーが必要です。この方法では、署名者の数を増やすことでセキュリティが向上し、単一の秘密キーの盗難や資産の転送が防止されます。たとえば、少なくとも 2 つの秘密キーが一致する場合にのみトランザクションを実行できるように、3 者署名を持つマルチ署名アカウントを設定できます。これにより、セキュリティが向上するだけでなく、より柔軟な管理と制御が可能になります。
5) 革新的な暗号技術: 技術の発展に伴い、いくつかの新しい暗号技術も秘密キーの保護に常に使用されています。たとえば、Threshold Signature Scheme (TSS) や Multi-Party Computation (MPC) などのテクノロジは、分散コンピューティングとコラボレーションを通じて秘密キー管理のセキュリティと信頼性をさらに向上させます。これは通常、企業によって使用されることが多く、個人によって使用されることはほとんどありません。
OKX Web3 ウォレット セキュリティ チーム:ハードウェア ウォレットは、秘密キーを別のオフライン デバイスに保存することで、サイバー攻撃、マルウェア、その他のオンラインの脅威による秘密キーの盗難を防ぎます。ソフトウェア ウォレットや他の形式のストレージと比較して、ハードウェア ウォレットはより高いセキュリティを提供し、大量の暗号資産を保護する必要があるユーザーに特に適しています。秘密鍵のセキュリティ保護対策は、おそらく次のような観点から始めることができるでしょう。
1) 安全なストレージ デバイスを使用する: ネットワーク攻撃によって秘密キーが盗まれるリスクを軽減するために、信頼できるハードウェア ウォレットまたはその他のコールド ストレージ デバイスを選択します。
2) 完全なセキュリティ意識教育を確立します。秘密キーのセキュリティの重要性と保護についての認識を強化し、秘密キーの入力を必要とする Web ページやプログラムに常に注意してください。秘密キーをコピーして貼り付ける必要がある場合は、クリップボード攻撃を防ぐために、一部のみをコピーし、手動入力を残すことができます。
3) ニーモニック フレーズと秘密キーを安全に保管する: 写真やスクリーンショットを撮ったり、ニーモニック フレーズをオンラインで記録したりすることは避け、ニーモニック フレーズを紙に書いて安全な場所に保管してください。
4) 秘密キーの個別の保管: 単一障害点のリスクを軽減するために、秘密キーを複数の部分に分割し、異なる場所に保管します。
Q4: 認証とアクセス制御における現在の脆弱性
OneKey セキュリティ チーム:ブロックチェーンは、Web2 のように ID 情報を識別して保存する必要はありません。暗号化を使用して資産への自己管理とアクセスを実現します。これは、秘密キーがすべてであることを意味します。暗号資産のユーザー アクセス制御における最大のリスクは、通常、秘密キーの不適切な保管に起因します。結局のところ、暗号資産にアクセスするための唯一の認証情報はユーザーの秘密キーです。秘密キーが紛失、盗難、暴露された場合、さらには自然災害に見舞われた場合、資産は永久に失われる可能性があります。
これは、安全な秘密キーのセルフホスティング ソリューションをユーザーに提供する、OneKey のようなブランドの存在の意味でもあります。多くのユーザーは、秘密キーを管理する際のセキュリティ意識が低く、安全でない保管方法 (オンライン文書やスクリーンショットに秘密キーを保存するなど) を使用していることがよくあります。最良の方法は、オフラインでの生成と保存を使用することです。手動でサイコロを振って手書きするだけでなく、金属プレートにニーモニックワードが刻まれた前述のハードウェアウォレットを使用することも検討できます。
もちろん、現時点では、Exchange アカウントを使用してアセットを直接保存するユーザーも多くいます。認証とアクセス制御は Web2 に似ています。
これはユーザーのパスワードのセキュリティ意識に関するものです。脆弱なパスワードを繰り返し使用することがよくある問題です。ユーザーは、単純で推測しやすいパスワードを使用するか、複数のプラットフォーム (確認メールなど) で同じパスワードを再利用する傾向があり、データ侵害後の総当たりクラッキングや攻撃のリスクが高まります。
多要素認証 (SMS 確認コード、Google Authenticator など) はセキュリティを強化しますが、適切に実装されていないか、脆弱性がある場合 (SMS ハイジャックなど)、攻撃の標的になる可能性もあります。たとえば、SMS ハイジャック SIM スワップ攻撃 - 攻撃者は携帯電話会社の従業員を騙すか賄賂を使って被害者の電話番号を攻撃者が管理する SIM カードに転送し、それによって被害者の携帯電話に送信されるすべての SMS 確認コードを受信します。 Vitalik氏は以前にも「SIM SWAP」攻撃の被害に遭ったことがあり、攻撃者は自身のTwitterを利用してフィッシングメッセージを送信し、多くの人々の資産に損害を与えた。さらに、「Google Authenticator」などの多要素認証デバイスの不適切に保存されたバックアップ コードが攻撃者に入手され、アカウント攻撃に使用される可能性があります。
OKX Web3 ウォレット セキュリティ チーム:現時点で注目すべき分野は次のとおりです。
1) 弱いパスワードとパスワードの再利用: ユーザーは単純で推測しやすいパスワードを使用したり、複数のサービスで同じパスワードを再利用したりすることが多く、パスワードが総当たりでクラックされたり、他の漏洩経路を通じて取得されたりするリスクが高まります。
2) 多要素認証 (MFA) が不十分: Web2 の多要素認証はセキュリティを大幅に向上させることができますが、Web3 ウォレットで秘密鍵が漏洩すると、攻撃者がアカウントのすべての操作権限を持っていることになり、効果的な MFA メカニズムを確立するのは困難です。
3) フィッシング攻撃とソーシャル エンジニアリング: 攻撃者はユーザーをだまして、フィッシングメールや偽の Web サイトなどを通じて機密情報を漏洩させます。現在のweb3を対象としたフィッシングサイトは、グループ化・サービス化が特徴であり、十分なセキュリティ意識がないと騙されやすいです。
4) 不適切な API キー管理: 開発者がクライアント アプリケーションで API キーをハードコーディングしたり、API キーに対する適切な権限制御や有効期限管理を実行できなかったりする可能性があり、その結果、キーが漏洩後に悪用される可能性があります。
Q5: ユーザーは、AI 顔変更などの新興仮想テクノロジーによってもたらされるリスクをどのように防ぐ必要がありますか?
OneKey セキュリティ チーム: 2015 年の BlackHat カンファレンスでは、世界中のハッカーが一致して、顔認識テクノロジーが最も信頼性の低い ID 認証方法であると信じていました。それから 10 年近くが経ち、AI テクノロジーの進歩により、私たちは顔を置き換えるためのほぼ完璧な「魔法」を手に入れました。予想どおり、通常の視覚的な顔認識ではセキュリティを保証できなくなりました。この時点で、より重要なことは、ディープフェイク コンテンツを識別して防止するために、識別当事者がアルゴリズム テクノロジーをアップグレードする必要があることです。
AI の顔を変えるリスクに関しては、ユーザーが自分のプライベートな生体認証データを保護する以外にできることはほとんどありません。以下に小さな提案をいくつか示します。
1) 顔認識アプリケーションの使用には注意してください
ユーザーが顔認識アプリの使用を選択する場合は、セキュリティ記録とプライバシー ポリシーが良好なアプリを選択する必要があります。不明なソースからのアプリやセキュリティが疑わしいアプリの使用を避け、ソフトウェアを定期的に更新して最新のセキュリティ パッチを適用してください。これまで、中国の多くの小規模金融会社のアプリがユーザーの顔データを違法に使用して転売し、ユーザーの顔データを漏洩させていました。
2) 多要素認証 (MFA) を理解する
単独の生体認証では危険が伴うため、複数の認証方法を組み合わせることでセキュリティを大幅に向上できます。多要素認証 (MFA) は、指紋、虹彩スキャン、声紋認識、さらには DNA データなどの複数の検証方法を組み合わせます。 1 つの認証方法が侵害された場合、この複合認証方法により、識別者にとって追加のセキュリティ層が提供されます。ユーザーにとって、個人データを保護することも重要です。
3) 疑いを持ち、詐欺に注意してください
人間の顔や声が AI によって模倣されるようになれば、インターネット上で人間になりすますことがはるかに簡単になるのは明らかです。ユーザーは機密情報を含むリクエストや資金移動に特に注意し、二要素認証を使用して電話または対面で相手の身元を確認する必要があります。常に警戒し、緊急リクエストを信用せず、役員、知人、顧客サービス担当者になりすますなどの一般的な詐欺手口を特定してください。現在、偽の有名人が多く、プロジェクトに参加する場合は「偽のプラットフォーム」に注意する必要があります。
OKX Web3 ウォレット セキュリティ チーム:一般的に、新興の仮想テクノロジーは新たなリスクをもたらし、新たなリスクは実際に新たな防御方法の研究をもたらし、新たな防御方法の研究は新たなリスク管理製品をもたらします。
1. AI偽造のリスク
AI 顔変更の分野では、多くの AI 顔変更検出製品が登場しています。現在、業界は、デジタルのディープフェイクの使用によって生成される固有の要素 (指紋) の検出に焦点を当てて、偽の人物ビデオを自動的に検出するいくつかの方法を提案しています。ユーザーは、顔の特徴、エッジ処理、音声とビデオの同期のずれなどを注意深く観察することで、AI の顔交換を識別することもできます。さらに、Microsoft はディープファック認識機能についてユーザーを教育するための一連のツールもリリースしました。ユーザーは個人識別スキルを学び、強化することができます。
2. データとプライバシーのリスク
さまざまな分野での大規模なモデルの適用は、ユーザーのデータとプライバシーにもリスクをもたらします。会話型ロボットを使用する場合、ユーザーは個人のプライバシー情報の保護に注意を払い、秘密鍵などの重要な情報の漏洩を避けるように努める必要があります。キーとパスワードを直接入力し、開発者向けに、提出されたコードに OpenAI apikey やその他の危険なプライバシー漏洩があった場合に、対応する一連の検出機能を提供します。プッシュ エラーが報告されます。
3. コンテンツの生成と悪用のリスク
ユーザーは日々の作業で、多くの大きなモデル生成コンテンツの結果に遭遇する可能性がありますが、コンテンツ生成の悪用により、誤った情報や知的著作権の問題が発生する可能性もあります。大規模なモデルによってテキスト コンテンツが生成されると、それに伴うリスクが軽減されます。さらに、大規模なモデルにコード生成を使用する場合、開発者は、生成されたコード関数の正確性と安全性にも注意を払う必要があり、機密コードやオープンソース コードについては、十分なレビューと監査を実行する必要があります。
4. 日々の注意と学習
ユーザーが日常的に短い動画、長い動画、さまざまな記事を閲覧する際、男性の声、女性の声、発音の誤り、音声による一般的な説明など、AI の偽造や AI が生成したコンテンツの可能性を意識的に判断、特定し、記憶する必要があります。重要なシナリオに遭遇したときに、これらのリスクを意識的に判断して特定します。
Q 6: 専門的な観点から、物理機器のセキュリティに関する提案をいくつか共有してください
OneKey セキュリティ チーム:先ほど述べたさまざまなリスクを踏まえて、保護策を簡単にまとめます。
1. ネットワーク機器からの侵入リスクに注意
インターネットに接続されたデバイスは日常生活のいたるところに普及していますが、侵入の潜在的なリスクももたらします。リスクの高いデータ (秘密キー、パスワード、MFA バックアップ コードなど) を保護するには、強力な暗号化方法を使用し、この機密情報をネットワーク上に直接保存しないように、ネットワークから隔離された保存方法を選択する必要があります。プレーンテキストのデバイス。さらに、フィッシングやトロイの木馬攻撃に対して常に警戒する必要があります。攻撃のリスクを軽減するために、暗号資産運用に特化した機器を他の汎用機器から分離することを検討してください。たとえば、毎日使用するラップトップと暗号資産の管理に使用するハードウェア ウォレットを分離できるため、1 つのデバイスが侵害された場合でも、もう 1 つのデバイスは安全なままになります。
2. 物理的な監視と保護を維持する
ハードウェアウォレットなどの高リスクデバイスの安全性をさらに高めるには、厳格な物理的な監視と保護対策を実装する必要があります。家庭内のこれらのデバイスは、高規格の盗難防止金庫に保管し、ビデオ監視や自動警報機能などの包括的なスマート セキュリティ システムを備えている必要があります。旅行する必要がある場合は、安全な保管設備のあるホテルを選ぶことが特に重要です。多くの高級ホテルは、機器に追加の保護層を提供できる、特別な安全な保管サービスを提供しています。また、どんな状況でも大切な機器を守るために、手提げ金庫を持ち歩くことも検討できます。
3. リスクにさらされるリスクを軽減し、単一障害点を防止します。
設備と資産を分散することは、リスクを軽減するための重要な戦略の 1 つです。すべての高特権デバイスと暗号資産を 1 か所または 1 つのウォレットに保存するのではなく、地理的に異なる場所にある安全な場所にストレージを分散することを検討する必要があります。たとえば、一部の機器や資産を自宅、オフィス、信頼できる友人や家族に保管できます。さらに、複数のホットウォレットとハードウェアコールドウォレットを使用することも効果的な方法であり、各ウォレットに資産の一部を保存し、単一障害点のリスクを軽減できます。セキュリティを強化するために、トランザクションを実行するために複数の承認された署名を必要とするマルチシグネチャ ウォレットを使用することもでき、資産のセキュリティ レベルが大幅に向上します。
4. 最悪の事態を想定した緊急措置
潜在的なセキュリティ脅威に直面した場合、最悪の場合の緊急時対応計画を策定することが重要です。富裕層にとって、目立たないようにすることはターゲットにならないようにするための効果的な戦略です。私たちは暗号資産を公の場で披露することを避け、資産情報をできるだけ控えめに保つように努めるべきです。さらに、機器の紛失または盗難に備えた緊急時対応計画を立てておくことも必要です。おとり暗号化ウォレットを設定して、強盗予備軍に一時的に対処しながら、重要なデバイス上のデータをリモートでロックしたり消去したり(バックアップを使用して)できるようにすることができます。民間警備チームを雇うことで、危険度の高い地域を公に旅行する際に追加のセキュリティを提供できるだけでなく、特別な VIP セキュリティ レーンや高セキュリティのホテルを使用して安全とプライバシーを確保することができます。
OKX Web3 ウォレット セキュリティ チーム:これを 2 つのレベルで紹介します。1 つは OKX Web3 APP レベル、もう 1 つはユーザー レベルです。
1.OKX Web3 APP レベル
OKX Web3 ウォレットは、アルゴリズム難読化、ロジック難読化、コード整合性検出、システム ライブラリ整合性検出、アプリケーションの改ざん防止、環境セキュリティ検出、その他の最大限の強化および検出方法を含むがこれらに限定されない、アプリを強化するためのさまざまな方法を使用します。これにより、ユーザーがアプリを使用する際にハッカーによる攻撃を受ける可能性が大幅に減少し、ハッカーによるアプリの再パッケージ化が最大限に防止され、偽のアプリがダウンロードされる可能性も減少します。
さらに、Web3 ウォレットのデータ セキュリティ レベルでは、最先端のハードウェア セキュリティ テクノロジーを使用し、チップ レベルの暗号化を使用してウォレット内の機密データを暗号化します。暗号化されたデータは、暗号化されたデータが盗まれた場合にデバイスのチップにバインドされます。人間にはそれを解読することはできません。
2. ユーザーレベル
ハードウェアウォレットや一般的に使用されるコンピュータ、携帯電話などの物理的なデバイスを使用するユーザーについては、まず次の側面からセキュリティ意識を強化することをお勧めします。
1) ハードウェア ウォレット: 有名なブランドのハードウェア ウォレットを使用し、公式チャネルから購入し、分離された環境で秘密キーを生成して保存します。秘密キーを保存する媒体は、耐火性、防水性、盗難防止性を備えている必要があります。セキュリティを向上させるために、秘密鍵やニーモニックワードを別の安全な場所に保管できる耐火性および防水性の金庫を使用することをお勧めします。
2) 電子機器: ソフトウェアウォレットがインストールされている携帯電話やコンピュータの場合は、他の不要なアプリケーション ソフトウェアのインストールを減らし、システム環境を浄化しながら、セキュリティとプライバシーに優れたブランド (Apple など) を選択することをお勧めします。 Apple ID を使用してシステムの複数のデバイスのバックアップを管理し、単一マシンの障害を回避します。
3) 日常的な使用: カメラ記録の漏洩を防ぐために、公共の場所でウォレット機器に対する機密性の高い操作を実行しないようにします。定期的に信頼できるウイルス対策ソフトウェアを使用して、デバイスの物理的な保管場所の信頼性を定期的にチェックします。
最後に、OKX Web3 Walletコラム「セキュリティ特集」第04号をご覧いただきありがとうございます。現在、実際の事例やリスク特定、安全な運用のヒントだけでなく、第05号も準備中ですので、ご期待ください。
免責事項
この記事は情報提供のみを目的としており、(i) 投資アドバイスまたは投資推奨、(ii) デジタル資産の購入、売却、または保有の提案または勧誘、または (iii) 財務、会計、法律または税務に関するアドバイスを提供することを目的としたものではありません。 。 ステーブルコインやNFTなどのデジタル資産の保有には高レベルのリスクが伴い、大幅に変動したり無価値になったりする可能性があります。自分の財務状況に基づいて、デジタル資産の取引または保有が自分に適しているかどうかを慎重に検討する必要があります。適用される現地の法律および規制を理解し、遵守することはお客様の責任です。
