この記事は、Web 3をはじめたばかりの方へ、web 3を安全に楽しむためのセキュリティについて記載しています。
ぜひ以下の項目をチェックのうえ、みんなで安全にWeb 3を楽しみましょう。
目次
詐欺プロジェクトに注意をする
Web3には様々な通貨やプロジェクトがあります。
価格が大きく上昇した時の利益を目的に草コインと言われる通貨に投資する方もいますが、その中に詐欺コインも多く存在します。
購入した後、ロックががかり売却できなかったり、IDOをうたい資金を集めて頓挫するプロジェクトもあります。一度、預けた資産は戻ってきません。自己責任です。プロジェクトはよく精査して投資判断してください。
プロジェクトを調べる際にCertiK(サーティック)と言われるツールがあります。
CertiK(サーティック)など既存を使いセキィリティレベルは調べることもできます。
CertiK(サーティック)とは?
CertiK(サーティック)は、ブロックチェーンとスマートコントラクトのセキュリティを向上させるためのプラットフォームです。CertiKは、ブロックチェーンアプリケーションやスマートコントラクトのセキュリティ脆弱性やバグを特定し、修正するためのツールやサービスを提供しています。
CertiK(サーティック)のホームページはこちら。
上記のサイトにアクセスしたら、確認するプロジェクト名(仮想通貨)を入れて検索してみてください。CertiK(サーティック) のスコアが表示されます。
以下は試しにステーブルコインのUSDT(テザー)を入力して検索したものです。
現時点でのSecurity Scoreが「92.05」なのがわかります。Fundamental Health(ファンダメンタル)、Community Trust(コミュニティ・トラスト)、Market Stability(市場の安定)、Governance Strength(ガバナンスの強さ)、Operational Resilience( オペレーション・レジリエンス)、Code Security(コードセキュリティ)から第三者機関がスコア化しています。
プロジェクトに投資判断をするうえセキュリティスコアは参考になることがあります。
怪しいサイトなどに安易にWalletをコネクトしない
DEX(分散型取引所)やMintサイトを利用するために、「Metamask(メタマスク)」を初めとする暗号資産ウォレットを接続する必要があります。
DEX(分散型取引所)やNFT(非代替性トークン)マーケットプレイスOpenSeaなどを開く時に、メタマスクなどのポップアップが表示され、何らかの「権限(Permission)」を要求された経験をした方はわかると思いますが、この時にトークンの承認(Aprove)を押してしまうとアクセス権限を与えてしまうことになります。
そうなると中の資産を抜かれてしまったり、乗っ取られる可能性があります。
ニーモニック(シーフレットリカバリーキー)や秘密鍵は教えない
ニーモニック(シードフレーズ)は、暗号通貨ウォレットや暗号化通信アプリなど、セキュリティとアクセス制御のために使用されるキーの一つです。
ニーモニック(シードフレーズ)は、通常は一連の単語(通常は12語または24語)からなるフレーズです。これらの単語は一意でランダムに生成され、特定の順序で配置されます。ニーモニックは、秘密鍵やプライベートキーを生成するために使用されます。
一般的に、ユーザーはニーモニックを紙や金属製のバックアップに書き留め、安全な場所に保管します。ウォレットやアプリにアクセスする際に、ニーモニックを入力することで秘密鍵が復元され、資産にアクセスすることができます。
ニーモニックは非常に重要な情報であり、他人と共有はしないでください。
他の人があなたのニーモニックを入手すると、ウォレットやアカウントが危険にさらされます。
セキュリティ上のリスクを最小限に抑えるために、ニーモニックは秘密に保管してください。
Google検索の広告にも注意する
Google検索結果に表示される広告サイトもすべてが安心なサイトだと限りません。キーワードで検索すると模倣サイトなどが表示されることもあります。
自分が意図したサイトにアクセスをしているか以下を確認をするようにしましょう。
- ドメインを確認する
広告のリンクをクリックする前に、表示されているURL(ドメイン)を確認しましょう。
信頼できる企業や公式サイトから提供された広告であるかどうかを確認します。不審なドメインやランダムな文字列が含まれている場合は注意が必要です。 - 公式サイトとの一致を確認する
広告サイトが特定の企業や製品を宣伝している場合、公式サイトと一致しているかを確認しましょう。企業のロゴ、デザイン、コンテンツの一貫性などをチェックして、信頼性を判断します。公式サイトとの大きな相違点がある場合は、詐欺やフィッシング試行の可能性があります。 - セキュリティに留意する
個人情報や支払い情報を入力する前に、広告サイトが適切なセキュリティ対策を取っているかを確認しましょう。安全な接続(HTTPS)が使用されていること、プライバシーポリシーやデータ保護に関する情報が提供されていることを確認します。 - 過剰なサービスの宣伝になってないか確認する
広告サイトでは、PRやサービスが過剰に宣伝されたり、詐欺的な手法が使用されたりすることがあります。高額な割引や驚くべき結果を保証するような広告には慎重に接する必要があります。過度に魅力的な情報には注意し、情報を確認するために公式サイトや信頼できる情報源を利用しましょう。
TwitterやDiscordのDMに注意する
Web 3では、「Twitter」「Discord」「Telegram」などSNSも多く利用されています。
DM(ダイレクトメッセージ)を通じた詐欺行為が発生が多いため以下に注意をしましょう。
- 不審なリンクには注意を払う
DMに送られてきたリンクをクリックする前に、送信元のプロフィールやアカウントの信頼性を確認しましょう。不審なリンクやランダムなURLには警戒心を持ち、個人情報や資金を求めるようなリンクには絶対にアクセスしないようにしましょう。 - 個人情報や金銭の提供には注意を払う
DMで知らない人物から個人情報や支払い情報の提供を求められた場合は、慎重にまりましょう。特にクレジットカード番号やパスワード、ニーモニック(シードフレーズ)、秘密鍵などの重要な情報は絶対に送信しないでください。 - 詐欺的なお知らせに注意する
DMにおいて、「当選通知」「急ぎの支払い要求」「投資の絶好の機会」など、詐欺的なお知らせが送られてくる場合があります。情報の正当性を確認するために公式ウェブサイトや公式アカウントを確認しましょう。 - ソーシャルエンジニアリングに警戒する
詐欺師はソーシャルエンジニアリングと呼ばれる技法を使用して、信頼関係を築きながら情報を騙し取ることがあります。知らない相手からの急な依頼や情報の共有には慎重に対応し、相手の正体を確認するようにしましょう。
AirDropなどの給付金のPRに注意する
仮想通貨のAirDropは、ユーザーに対して無料で仮想通貨を配布するというプロモーション活動の一形態として行われる傾向があります。
しかしながら、AirDropを悪用した詐欺行為も存在します。以下に一般的なAirDrop詐欺の手法をいくつか説明します。
- 偽のAirDropプロモーション
詐欺師は、有名な仮想通貨プロジェクトを装って偽のAirDropを宣伝します。一般的に、ユーザーは特定の仮想通貨を保有しているか、特定のタスク(ソーシャルメディアでのシェア、リツイートなど)を完了することが条件として求められているようです。 - フィッシング詐欺
詐欺師は、公式のAirDropプロジェクトや仮想通貨取引所を模倣した偽のウェブサイトやメールを作成し、ユーザーのログイン情報やプライベートキーを入手しようとします。ユーザーはリンクをクリックし、詐欺者のサイトにアクセスしてしまう可能性があります。 - 支払い詐欺
ユーザーはAirDropに参加するために、事前の支払いや仮想通貨の送金を要求される場合があります。しかし、実際には仮想通貨は送金されず、詐欺師に送金した資金は失われてしまいます。
以下の対策を講じることが重要です。
- AirDrop情報の信頼性を確認する
公式ウェブサイトや公式ソーシャルメディアアカウントからの情報であるかを確認しましょう。不審なリンクや情報源には警戒心を持ち、信頼できる情報源からのみ参加するようにしましょう。 - 個人情報や秘密鍵の共有には注意する
AirDropに参加する際には、個人情報や秘密鍵の共有は必要ありません。絶対に他人と共有せず、安全な場所に保管してください。
