脅威の状況
何から自分を守る必要があるのかを理解することで、優先順位を付けることができます:
アカウント侵害: 攻撃者が盗まれたパスワード、フィッシング、またはセッション乗っ取りを通じて取引所アカウントへのアクセスを取得します。その後、資金を引き出します。
SIMスワップ攻撃: 攻撃者が携帯キャリアに連絡して、あなたの電話番号を彼らのSIMカードに転送させます。その後、アカウントパスワードをリセットしてSMS 2FAを無効にします。
フィッシング: 偽のメール、ウェブサイト、またはメッセージにより、詐欺的なサイトに認証情報を入力したり、悪意のあるトランザクションを承認したりするよう騙されます。
マルウェア: キーロガー、クリップボード乗っ取り、またはブラウザ拡張機能が認証情報を盗んだり、コピーされたウォレットアドレスを攻撃者のア���レスに置き換えたりします。
ソーシャルエンジニアリング: 攻撃者が取引所サポートスタッフ、暗号プロジェクト、または他の信頼できる当事者になりすまし、情報の開示や資金の送付を強要します。
最も一般的な攻撃ベクトルは、高度な技術的ハッキングではなく、ユーザーの行動を悪用することです:弱いパスワード、SMS 2FA、フィッシングリンク、またはブリーチされたウェブサイトから再利用された認証情報。
ステップ1:二段階認証を有効にする(適切な種類)
二段階認証(2FA)は、パスワードを超えて第2の検証レイヤーを追加します。ただし、すべての2FAが同等というわけではありません。
TOTP認証アプリ(推奨)
時間ベースのワンタイムパスワード(TOTP)アプリは、30秒ごとに変わる6桁のコードを生成します。これらのコードはデバイス上でローカルに生成され、ネットワークを通じて送信されることはないため、傍受に強いです。
推奨アプリ:
ほとんどの取引所で有効にする方法:
- アカウント>セキュリティ>二段階認証に移動
- 「認証アプリ」を選択(SMSではなく)
- 認証アプリでQRコードをスキャン
- 6桁のコードを入力して設定を確認
バックアップキーは重要です。スマートフォンを紛失した場合、バックアップキーにより2FAコードを復元できます。これなしに、アカウントアクセスの復旧には取引所のサポートチームとの身元確認が必要になります。これは遅く、イライラする過程です。
SMS 2FA(推奨されません)
SMS 2FAは、テキストメッセージを通じてコードをあなたの電話に送信します。これは安全に見えますが、攻撃者があなたの番号をポートするSIMスワップ攻��に対して脆弱です。
SIMスワップ攻撃は驚くほど簡単です。 攻撃者は基本的な個人情報(多くの場合、データブローカーから購入またはソーシャルメディアを通じて取得)を持ちながら携帯キャリアに電話し、驚くほどの頻度で電話番号をポートすることに成功します。番号を取得すると、パスワードをリセットしてSMS 2FAをバイパスできます。
取引所がSMS 2FAのみを提供している場合、それは何もないよりはマシなものとして受け入れてください。ただし、選択肢がある場合は、常に認証アプリを使用してください。
ハードウェアセキュリティキー(高度)
物理セキュリティキー(YubiKey、Google Titan Key)は、利用可能な最も強力な2FAを提供します。キーをプラグインしてタップすることで認証が完了します。傍受するコードはありません。Coinbase、Gemini、およびその他の一部の取引所でサポートされています。大規模なポートフォリオの場合、強く推奨されます。
ステップ2:強力でユニークなパスワードを使用する
取引所のパスワードは次の特性を持つ��きです:
毎年、ブリーチされたウェブサイトから数十億のユーザー名/パスワード組み合わせがオンラインで取引されています。取引所のパスワードがメール、ストリーミングサービス、または他のアカウントと同じである場合、そのいずれかがブリーチされると、「認証情報スタッフィング」を通じてあなたの取引所アカウントが自動的に侵害されます。
パスワードマネージャーを使用する
パスワードマネージャー(Bitwarden、1Password、Dashlane)は、すべてのサイトの一意のランダムパスワードを生成および保存します。1つのマスターパスワードを覚えるだけで、マネージャーが他はすべて処理します。
Bitwardenはオープンソースで、個人使用は無料で、独立して監査されています。優れた出発点です。
パスワードマネージャーを設定した後:
- 取引所アカウントの新しいランダムパ���ワードを生成
- 取引所のパスワードを更新
- メールアカウントも強力でユニークなパスワードを持つことを確認してください — これは他のすべてのリカバリーキーです
ステップ3:メールアカウントを保護する
メールアカウントは、すべての取引所アカウントのマスターキーです。パスワード リセット、出金確認、およびセキュリティアラートはすべてメールを通じて行われます。攻撃者がメールを持っている場合、取引所にアクセスできます。
メールを次で保護します:
- 強力でユニークなパスワード(パスワードマネージャー経由)
- 2FAの認証アプリ(SMSではない)
- 脆弱なアカウントや電話番号を指さないリカバリーオプション
暗号アカウント専用のメールアドレスを使用してください — 日常のメールとは別に。これはフィッシング露出を減らします(メインアドレスへの暗号関連のメールはすべて疑わしいことを知っています)そして暗号活動を分離します。
ステップ4:出金アドレスホワイトリストを���効にする
ほとんどの主要な取引所は、出金アドレスホワイトリスト機能を提供しています。有効にしている場合、アカウントは事前承認したアドレスにのみ暗号を送信できます。新しいアドレスを追加するには:
- メールを通じた確認
- 必須の待機期間(通常は24~48時間)
これは非常に強力なセキュリティレイヤーです。攻撃者がアカウントを完全に侵害した場合でも、メールもアクセスしてクーリングオフ期間を待つまでは資金を引き出すことはできません。これにより、ブリーチを検出してロックアウトする時間が得られます。
Binanceで有効にする: アカウント>セキュリティ>出金アドレス管理>ホワイトリストを有効化
Coinbaseで有効にする: 設定>セキュリティ>許可されたアドレス
Krakenで有効にする: アカウント>セキュリティ>グローバル設定ロック(同様の保護を提供)
ステップ5:アンチフィッシングコードを設定する(Binance)
Binanceは、そのプラットフォーム固有のアンチフィッシングコ��ド機能を提供しています。短いカスタムフレーズを設定すると、すべての正規のBinanceメールにそれが含まれます。コードなしでBinanceブランドのメールを受け取った場合、それはフィッシング試みです。
次で設定します: アカウント>セキュリティ>高度なセキュリティ>アンチフィッシングコード
この機能を持たない他の取引所の場合、すべてのメールを精神的に確認してください:このメールを予期していましたか?送信元アドレスは取引所の公式ドメインと正確に一致していますか?リンクは公式ドメインに移動していますか?
ステップ6:出金限度額とAPIキーを管理する
出金限度額
一部の取引所では、取引所のデフォルトより低い個人の最大日次出金限度額を設定できます。これは侵害されたアカウントからのダメージを制限します。これを通常の活動に適切なレベルに設定してください。
APIキーセキュリティ
取引ボット、ポートフォリオトラッカー、またはAPIを通じて接続する他のサードパーティツールを使用する場合:
- 各アプリケーション用に別々のAPIキーを作成
- サードパーティサービスで使用されるAPIキーに出金権限を付与しないでください — ほとんどのユースケースではリードオンリーとトレーディングオンリーの権限で十分です
- 使用されていないAPIキーを定期的に確認して削除
- サポートチケット、Discordメッセージ、またはフォーム内でAPIキーを共有しないでください
出金権限を持つAPIキーはアカウント認証情報と同じくらい危険です。出金権限を持つAPIキーを持つ攻撃者は、パスワードや2FAなしでアカウントをドレインできます。
ステップ7:長期的に資金を取引所に置いたままにしないでください
取引所はターゲットです。すべての主要な取引所は何らかの形のセキュリティインシデントを経験しています — ハック、内部盗難、技術的障害、または規制的押収。暗号の歴史は取引所の失敗でいっぱいです:Mt. Gox(850,000 BTC、2014年)、FTX(80億ドル、2022年)、Bitfinexハック(2016年、部分的に回収)、Cryptopia、QuadrigaCX。
ルール: 取引所には、取��のためにアクティブに必要なものだけを保持してください。長期の貯蓄は自己監護にあるべきです。
自己監護とは、秘密鍵を管理するウォレットで暗号を保持することを意味します:
「あなたのキーがなければ、あなたのコインではない」はビットコインの基本原則であり、かなりの暗号通貨保有に関連したままです。
ステップ8:フィッシングを認識して回避する
フィッシングは、取引所アカウントが侵害される最も一般的な方法です。攻撃者は、認証情報を盗むために説得力のある偽の取引所メールとウェブサイトを作成します。
メール内の警告標識
- 緊急性または恐怖:「あなたのアカウントは24時間で停止されます」
- 一般的な挨拶:あなたの名前ではなく「親愛なる顧客」
- 疑わしい送信元アドレス:@binance.comではなくbinance-security@gmail.com
- 公式ドメインに移動しないリンク
- シードフレーズ、パスワード、または2FAコードのリクエスト(取引所はこれらを決して要求しません)
安全なブラウジング習慣
- 認証情報を入力する前にブラウザアドレスバーのURLを確認
- ブラウザのフィッシング保護を有効にする
- 利用可能な場合、ハードウェアセキュリティキーを使用します — フィッシングサイトはあなたが誤ってログインしても、それを使用することはできません
大量保有のためのコールドストレージ戦略
重大な保有量(失うことが残念だと思うもの)の場合、標準的な推奨事項は:
簡潔なセキュリティチェックリスト
- [ ] 認証アプリ2FA有効(SMS非対応)
- [ ] 強力でユニークなパスワード(パスワードマネージャー経由)
- [ ] 暗号用の専用メールアドレス
- [ ] 出金アドレスホワイトリスト有効
- [ ] アンチフィッシングコード設定(Binanceユーザー)
- [ ] APIキー監査済み — すべてのサードパーティアプリから出金権限を取り消し
- [ ] 取引所がブックマーク済み — メールリンクを使用しない
- [ ] 長期保有物をハードウェアウォレットに移動
よくある質問
最も安全な2FA方法はどれですか?
ハードウェアセキュリティキー(YubiKey)が最も安全で、TOTP認証アプリ(Google Authenticator、Authy)が続きます。SMS 2FAは何もないよりはマシですが、SIMスワップ攻撃に対して脆弱です。最低限、認証アプリを使用してください。
アカウントが侵��された場合はどうすればいいですか?
即座に行動してください:取引所のサポートチームに連絡してアカウントを凍結します。メールパスワードを変更してください。接続されたデバイスを確認して、認識していないセッションを取り消してください。資金が盗まれた場合、地元当局に報告してください。素早く行動するほど、損失を制限したり、攻撃者を捕まえるチャンスが良くなります。
何年も同じ取引所を使用するのは安全ですか?
評判の良い、規制された取引所(Coinbase、Kraken、Gemini)を何年も使用することが一般的です。リスクは通常、取引所の耐久性ではなく、あなた個人のアカウントセキュリティです。無期限に強力なセキュリティプラクティスを維持してください。
シードフレーズを安全に保存するにはどうすればいいですか?
ペンを使用してペーパーに書きます(フェードする鉛筆ではなく)。複数の物理的な場所に保存します — たとえば、自宅のセーフと安全預金ボックスです。それを写真に撮らないでください。クラウドストレージ、メール、またはインターネット接続デバイスに保存しないでください。金属バックアッププレート(Cryptosteelなど)は、火災と水の損傷から保護を提供します。
取引所は資金をフリーズできますか?
はい。規制された取引所は、コンプライアンスレビュー、疑わしい不正、または法的命令のためにアカウントをフリーズできます。これはカストディアル取引所の使用のリスクであり、重大な金額の長期保有者が自己監護を好む理由の1つです。
関連ガイド:
