ツイッターを見ていて気になったことがあったので書きます。





中古のハードウェアウォレットのことです。





結論を先に言います。

中古のハードウェアウォレットは絶対買ってはいけません。





これね。別に転売がどうとかは個人的にはどうでも良いのですが、わざわざ高いお金払って危険なウォレットを買う必要はないです。





理由は文字にしてしまえば簡単なのですが、より危機感を持って貰うために「どうやって攻撃するか」を書いていきたいと思います。（悪用しないでね）









要するに攻撃側は秘密鍵を盗めば良い

ハードウェアウォレットは「秘密鍵」と呼ばれるものを管理する道具です。この秘密鍵はブロックチェーン上にある自分の資産を使うための鍵であり、秘密鍵を知っていればその資産が誰の資産であれ、使用することが出来ます。

(ちょうど、貴方のツイッターのパスワードを知っていれば貴方でなくても貴方のアカウントでツイート出来るのと同じです)

結局のところ攻撃側は「いかに秘密鍵を盗むか」を考えればよいのです。

（秘密鍵を知らなくても攻撃できます）









ハードウェアウォレットの転売を利用して秘密鍵を盗む その１

では、ハードウェアウォレットの転売を利用して相手の秘密鍵を盗むにはどうすればよいか。





とても簡単です。「秘密鍵を見てから売れば良い」だけです。手順は下記の通り。

ハードウェアウォレットを購入してそのハードウォレットの秘密鍵をメモする 転売する 購入者がハードウェアウォレットの初期化を行わなければ攻撃成功。購入者と販売者は同じ秘密鍵を持っていることになる。

とっても簡単ですね。明日からでも出来そうです。(やめてください)





転売されているハードウェアウォレットを買う層は必然的にセキュリティに対する考えが甘い人が多く、初期化の重要性を知らずに初期化せずに利用するケースも多々あると思います。転売することでセキュリティに対する考えが甘い人を炙り出すことも出来るので攻撃の成功率も上げられそうです。





では、初期化すれば良いのか。と思うでしょう。





残念ながら、それは違います。









ハードウェアウォレットの転売を利用して秘密鍵を盗む その２

攻撃その１を見て、初期化すればいいんでしょ？と思いましたか？それは甘いです。





ハードウェアウォレットが攻撃者によって改造されていれば、実は初期化されていない、初期化はされるが攻撃者が予測できる形に初期化されているかもしれません。

こうなると、気づくことが困難なので、安心して大金を預けた瞬間、資産をごっそり盗まれてしまいます。









そんなことする人が本当にいるのか？

その１、その２、いずれも、販売側が攻撃者であることは間違いなく、足がついてしまう。それなのに、本当にそんなことする人がいるのか？





残念ながら、いるでしょう





攻撃側はリスクが少ないですからね。大金が手に入るなら迷わずやる人は大勢いると考えるべきです。セキュリティにおいては、性悪説でいきましょう。

（私にしてみれば実際にいるとか、そういうレベルの話ではない）





また、ここに書いてあるのはあくまで一例で、改造されている場合、何をされているかわかりません。攻撃方法は多彩です。例えば、送金先を差し替える攻撃なら秘密鍵は必要ないのでもっと簡単な改造で攻撃できそうです。









フィジカルコインも危険だよ

フィジカルコインってありますよね。コインっぽい形したものに秘密鍵を刻んで封してる、あれです。中には掘ってから一度も使われてないヴァージンコインをフィジカルコインにして売るっていうのもあったりするようです。 （使われてないコインが欲しいとかどんだけ変態なんdry）

（上記図：例のアレ）



で、これも言わずもがな危険ですよね。攻撃方法は「その１」と同じです。





昔からビットコインに目をつけていた所謂「古参」と呼ばれる方々も記念に買っていたりするので、ついつい安全なものかと思ってしまいがちですが、あれはとても危険なものです。

（古参の人はそれを理解した上で、それでも記念にと考えて買っています。）









泣き寝入りするしか無いという悲しい現実

盗まれた場合、どうなるのか。





残念ながら、泣き寝入りするしかありません。





なぜか。ビットコインをはじめ、仮想通貨には基本的に発行主体というものがなく、泣きつく先が無いからです。貴方がハードウェアウォレットから資産を盗まれた時、皆貴方のことを可哀想に思うでしょう。しかし、残念ながらどうすることも出来ないのです。





日本円であれば、不正送金先を見つけ、強制的に取り戻すことが出来るでしょう。しかし、仮想通貨の場合、不正に送金された先が分かったところで誰にも手出しが出来ないのです。残念なことに。この辺りは取引所の利用者保護の限界にも関わってくる話でしょう。









資産を守るためなので、油断するな

上に書いたことは仮想通貨を守るというよりは、パスワードを複雑にする、パスワードは使いまわさないなどの、一般的なネットセキュリティーの延長にあるものです。特別仮想通貨に限ったことでもありません。





せっかくトレードでいい成績を収めても、盗まれればおしまいです。





だから油断するな。