暗号資産の最大の弱点？ ブラインド署名の説明

ブラインド署名という言葉を聞いたことがあるものの、意味を把握できていませんか？ ここで詳しくご説明します。

これを読んでいる方は、すでに暗号資産が多くの人々に注目されていることをご存じでしょう。 コインやトークン、NFTに関わらず、誰でも資産を安全に保ちたいと願うでしょう。 安全対策は万全でしょうか？ 秘密鍵とリカバリーフレーズを誰とも共有しなければ大丈夫だ、とお考えかもしれません。 それは正しいのですが、安全対策がそこで完結するわけではありません。

暗号資産の世界におけるDeFiとdAppの驚異的な上昇に伴い、ユーザーはこれまで以上に複雑な方法でスマートコントラクトと関わるようになっています。 そして 詐欺師は トランザクションプロセスにおける新たな脆弱性を常に探し求めているため、暗号資産を奪おうとする新しい詐欺が誕生しています。 そして 暗号資産のプロであっても、詐欺を検出するのが難しい場合があります。

ブラインド署名は、詐欺師が資産を盗むために利用するあまり知られていない手口の1つ。 ここではブラインド署名とは何か、そして ブラインド署名詐欺の手口と回避する方法をお伝えします。

ブラインド署名とは？

ブラインド署名がどのように機能するかを説明する前に、現実世界の紙とペンでの署名の基本から始めましょう。 契約は、私たちの関係を律するために存在します。週40時間働くことを義務付ける雇用契約であれ、毎月支払う必要のあるNetflixのサブスクリプション料金であれ、契約に署名するとき、あなたはその内容に同意しているとみなされます。 署名をすることで、 条件を確認して理解し、拘束されることに同意することを表明します。

デジタル契約の署名

スマートコントラクト – dAppやNFT、DeFiの多くの要素を支えるデジタル版のインフラ。 例えば、ある金融業者から暗号資産を借りて、毎月一定額の利息をつけて返済するとします。 秘密鍵を使って合意を認証する場合、スマートコントラクトに電子署名することになります。

しかし、実際に契約書を見ることができない場合は、どうすればいいのでしょうか？ ここで、最初の問いに戻ります。 

現在のdAppやNFTで使用されているスマートコントラクトは、そのコード(重要な契約の詳細を含む)をユーザーが理解可能な言語で完全に表示することができません。ユーザーは、自分が何に署名しているのか分からずに署名してしまう状況が発生します。 これは、ウォレットが最新の消費者の状況に追い付いていないためです。

実際にどんな影響があるのでしょうか？

これがトランザクションに与える影響を、実例を挙げて見てみましょう。 まず最初に、コンピューターの画面を使って署名する場合は、いつでも技術的にはブラインド署名であることを理解しておく必要があります。

ソフトウォレットのみで取引しているとしましょう。その場合、ディスプレイ画面(コンピューターや携帯)がインターネットに接続されているため、ハッキングの対象になりやすくなります。. つまり、署名内容を表示する画面は完全に信頼できるものではなく、画面がハッキングされて偽の表示をし、別のものに署名してしまう可能性が常にあります。 つまり、トランザクションを確定することで、信頼に基づいてトランザクションを承認する「ブラインド署名」をしていることとなります。

Ledger Nanoのようなハードウェアウォレットを使用する理由は、このようなリスクを排除するためです。 ウォレットは、ハッカーの侵入を許さない安全なオフラインの場にあり、画面には常に真実のトランザクションが表示されます。 Ledgerの「信頼できる表示」は、ユーザーが同意する内容を正確に把握するのに非常に重要となります。

Nanoは常に正確なトランザクション情報を表示するものの、これは情報が利用可能な場合に限られ、これが当てはまらない状況も発生します。

正しいセキュリティ対策を施し、LedgerデバイスとdAppに接続しているソフトウォレットの組み合わせでスワップを行ったとしましょう。 

しかし、すでにお伝えしたとおりほとんどのソフトウェアウォレット、すなわちデバイスとdApp間のミドルウェアは、トランザクションのスマートコントラクト要素を読み込んで完全に抽出することができません。. つまり、Ledgerデバイスを使って認証を行い、トランザクションを完了したとしても、デバイスは完全な詳細を表示することができないのです。 これは、ミドルウェア自体に送信するものがないためです。

デバイスには「データがあります」と表示されるだけで、アクション、価格、受信アドレスなどの主要な情報を確認することができません。 このように表示されます。

この契約内容の詳細が分からない以上、ここでも信頼に基づいたトランザクションの確認を行うしかありません。 これが、ブラインド署名と呼ばれている理由です。

このように説明すると、ブラインド署名はかなり危険なものに思えますが、私たちの多くはすでにそれを行っています。何らかのサービスに登録する際に、ユーザー契約をきちんと読んだことはありますか？ 私たちは多くの場合、取引相手の評判をもとに信頼性を判断しています。

ブラインド署名による新たな詐欺の可能性

暗号資産が主流になったことで、暗号資産を安全に保つ方法を学ぶ人が増え、詐欺師が資産にアクセスする機会も減りました。 そのため、詐欺師は無理やりドアを壊そうとするのではなく、被害者を騙してドアを開けてもらおうとします。

有名なウェブサイトのNFTのドロップを例にあげましょう。NFTマニアは、暗号資産に大きな需要をもたらしており、ドロップ機能はその興奮を最大限に利用します。 しかし、NFTドロップでブラインド署名をする前に、よく考えてみましょう。有名なブランドでない場合、認証するトランザクションは信頼に値するものだと言えるでしょうか？

プライベートメッセージも、この種の詐欺の温床となっています。 最近、Discordで、OpenSeaの技術管理者を装った詐欺師が登場する事件がありました。 技術的な助けを求めていた経験豊富なコレクターが、サービスアドバイザーと話していると思い込み、自分のアカウントについて会話を始めてしまったのです。 チャットの中でアドバイザーは、被害者のLedger Nanoを使い、契約の詳細を示さないトランザクションコールを承認するよう求めました。 実際には、認証するトランザクションは被害者のボールトへのアクセスを提供するものであり、アドバイザーは詐欺師だったのです。

経験豊富な暗号資産ユーザーであっても、十分納得できる状況であれば、間違いを犯す可能性が証明されています。

信頼せず、常に確認するようにしましょう。

こうした詐欺は、ソーシャルエンジニアリングを通じて行われます。 この例では、詐欺師は疑う心を取り除く環境を作り出し、被害者は信頼できるヘルプデスクと対話していると思い込み、内容がわからない状態でのトランザクションを信用してしまったのです。

そして、この種の詐欺は進化のスピードが速く、ブラインド署名が業界の常識となっている中で、より一般的になってきています。 そのような状況に対し、ツールが進化すべき時に来ています。

どうすれば安心してdAppを利用できるのでしょうか？

Ledgerは、トランザクションのすべてに絶対的な透明性とセキュリティを提供することを使命としており、利用者が署名するたびにコントラクトデータを読み取ることができるようにします。 最新のアップグレードでは、統合されたすべてのdAppに明確な署名を提供することでこれを実現しています。 これにより、ユーザーが直面する脆弱性を排除し、最も安全で流動的な体験が実現しています。

今回のバージョンアップでは、これを可能にする2つの大きな改良が追加されました。 Nanoで、さまざまなdAppのスマートコントラクト情報を読み取って表示することが可能になっただけでなく、最近のLedger Live内でのアプリカタログの開始により、Ledgerデバイスのセキュリティ内から多くのDeFiやdAppにアクセスし、好みのdAppやサービスへの安全なゲートウェイとしてLedgerのエコシステムを利用することができるようになりました。

ブラインド署名を過去のものにしましょう。

ParaSwapのトランザクションの例をご覧ください。

上の例のように、Nanoは単に「Data Present(データがあります)」と表示するのではなく、信頼された表示の絶対的なセキュリティの中でトランザクションの全容を表示します。

随時新しい統合が行われているLedgerのアプリカタログは、dAppのセキュリティ面で業界をリードしています。

必要なdAppが統合されていない場合は？

Ledger Liveは、オープンソースかつオープンプラットフォームです。プロジェクトに関係なく、自分でプラグインを書いてLedger Liveに対応させ、クリア署名をできるようにすることができます。 なぜ待つ必要があるのですか？

統合が拡大する中、一部のトランザクションでは引き続き仲介のウォレットが必要です。 ミドルウェアでトランザクションを認証している場合でも、ブラインド署名を求められることがあります。 このような場合でも、詐欺に遭うリスクを軽減するためにいくつかの手段を講じることができます。

• 聞いたことのないdAppは使わず、必ず真偽を再確認しましょう。
  
• ソーシャルメディア上のDMを疑う：知らない人が積極的に連絡を取ってきた場合、その理由を考えてみましょう。 相手が一体誰なのかを知る術はありません。

• どのようなトランザクションであっても、Ledger Nanoは秘密鍵を常にオフラインで維持できる貴重なツールであることに変わりはありません。 これを使うことで、セキュリティを高めることができます。

• 繰り返しになりますが、リカバリーフレーズを他人と共有したり、インターネットに接続されたデバイスに保存しないでください。ソフトウェアウォレットへの入力もお控えください。リカバリーフレーズを入力できるのは、Ledgerデバイスのみです。

資産の安全を守るのは、お客様ご自身です。

ブラインド署名では、技術的な欠陥から人為的ミスを誘発してしまうことがあります。 だからこそ、ユーザー自身の判断が何よりも重要となります。

どんなに高度なウォレットを使っても、暗号資産を最後に守るのはお客様です。 トランザクションのすべての部分を自分で精査できるようにすることで、Ledgerの拡大を続けるアプリカタログの可能性を、安全かつ最大限に活用できるようになります。

暗号資産詐欺について理解し、それを回避する方法を知りたい方は、School of Blockのエピソード「詐欺師の頭の中」をご覧ください。