ご存知のように、Ledger社は今夏にEコマースのデータ侵害の被害に遭いました。 この被害により、大量のユーザーデータが漏洩しました。
12月20日、当社はRaidforum(ハッカーのコミュニティ掲示板)にLedgerの顧客データベースの内容が投機されたとの情報を把握しました。 その結果、ユーザーを脅かすフィッシング攻撃が継続的に発生しています。
今回の侵害によって影響を受けたお客様には心から謝罪させていただくと同時に、ご心配かとは思いますが、どうかパニックに陥らないようお願いいたします。 当社は、このような事態が招かれたことを深く反省し、対処のための措置を講じました。
データ侵害に対処する6つの方法
1 – 慌てない
詐欺師は、お客様の恐怖心を利用して軽率な行動を取らせようとします。パニックになったり、焦ってアクションを起こさないようにしてください。
ストレス状態では、人は正常な判断ができにくくなります。 パスワードやメールアドレスの変更、デバイスのバックアップなどを行う場合は、ミスが無いように慎重に、じっくり時間をかけて行ってください。
最も重要なことは、オフラインで保管されている限り、お客様の資金は安全だということです。 ハードウェアウォレットは、資産を保管するための最も安全な方法です。 資金を取引所ソフトウェアウォレットに送金すると、脆弱性が高まります。
Ledger製品は、暗号資産に対する最高のセキュリティを提供します。いかなる状況においても、データ漏洩によってお使いのデバイスのセキュリティが影響を受けることはありません。 必要なのは、Nanoとリカバリーフレーズを、それぞれ別々の安全な場所に保管することだけです。
2 – 24単語のリカバリーフレーズを絶対に共有しない。
前述のとおり、今回のデータ侵害は、当社のハードウェアウォレットやLedger Liveのセキュリティとは無関係であり、お客様の暗号資産は一切の危険にさらされていません。 そのため、攻撃者は、お客様が自分から提供しない限り、リカバリーフレーズや秘密鍵などの機密情報を盗む出すことはできません。
この情報とそのアクセスを管理するのは、あなただけであることを知っておく必要があります。 悪質な詐欺師によるフィッシング詐欺に常に注意を払ってください。 24単語は絶対に誰にも教えないでください。 Ledger Live内を含め、当社がお客様にリカバリーフレーズの24単語を伺うことは絶対にありません。 Ledgerがテキストメッセージや電話でお客様に連絡することは絶対にありません。
このようなフィッシング詐欺の手口をよく理解し、詐欺に遭遇した場合には、こちらの専用ページで報告することをお勧めします。
Ledgerは、データ侵害による影響を詳細に説明した2通のメールを、影響を受けるお客様に送信しました。 1通は、メールアドレスのみが流出した100万人のユーザーを対象としたもので、もう1通はさらに多くのデータが流出したユーザーに宛てられました。
被害に遭われたと思われる方で、当社からのメールが届いていないという場合は、https://haveibeenpwned.com/にアクセスし、他の場所でデータが漏洩していないかを確認して、必要に応じて対策を講じてください。
3 – アクセスのセキュリティを強化する
メールアドレスが流出した場合は、関連するパスワードを変更することをお勧めします。 新しいパスワードを設定するときは、セキュリティを強化するため、文字と数字の組み合わせ、大文字と小文字、および記号を使用してください。
さらに、2FAと呼ばれる二要素認証を追加することも強くお勧めします。 この方法では、2つの認証要素(パスワードともう1つ別の要素)を認証メカニズムに提示した場合のみ、メールまたはその他のプラットフォームへのアクセスが許可されます。 別の要素には、SMSで送信されるコード、モバイルデバイスで通知されるコード、専用アプリでランダムに生成されるパスワードなどがあります。
SMSを使った2FAは、SIMスワップ攻撃のリスクがあるため推奨されていません。 Google Authenticator、FreeOTP(オープンソースソリューション)、または物理的な鍵を使用してください。 Ledgerデバイスを利用して、2FAでアカウントを保護することができます。 詳しい方法については、こちらのチュートリアルで説明しています。
最後に、最大限のセキュリティを確保するため、上記の対策を施した上で、メールアドレスの変更を検討するのも良いでしょう。
4 – 身代金は絶対に支払わない
悲しいことに、詐欺師のモラルはさらに低下しており、私たちはさまざまな脅威から身を守らなければなりません。 物理的脅威の被害者になるのは恐ろしいことであり、そういった心配も大きなストレスになります。
しかし詐欺師は一般的に、できるだけ楽にお金を盗もうとしていることを理解しておいてください。 フィッシング攻撃では、物理的な接触に伴うリスクを負うことなく、多数のターゲットに簡単に詐欺を仕掛けることができます。 このデータベースは6月から公開されていますが、この種の攻撃はこれまで誰も報告していません。
大量の暗号資産をデバイスに保存している場合は、デバイスを自宅から離れた、安全でアクセスしにくい場所に保管することをお勧めします。 自宅に多額の現金を保管しないのと同じ理由です。
身代金は絶対に支払わないでください。 身の危険を感じたときは、直ちに警察など地元当局に連絡してください。
5 – もっともらしい否認
ウォレットへのアクセスを誰かに強要される恐れがある場合は、Ledgerデバイスにもう1つのバックアップフレーズ(パスフレーズとも呼ばれる)を設定しておくことで、メインの24単語のリカバリーフレーズのセキュリティを高められる可能性があります。
これにより、2つのリカバリーフレーズが生成されます。1つは通常のアカウントセットのロックを解除するもので、もう1つは、ここで説明されている通り、別の秘密鍵とアドレスで構成された別のアカウントセットのロックを解除します。
つまり、万が一誰かに「ハードウェアのウォレットを開けて空にしろ」と強要された場合でも、最初のコードを使用して、ごくわずかな暗号資産しか保管されていないアカウントを相手に提供することができます。 こうすることで、被害額を最小限に留めることができるのです。
6 – バックアップの分散
家宅侵入によってすべてを奪われてしまう危険を回避したい場合、あるいはバックアップを保管するのに十分に安全な場所を確保できない場合は、バックアップを分割して複数の場所で分散管理するという方法もあります。 24単語を8単語ずつ、3つのグループに分けて管理することも可能ですが、この方法の場合、バックアップを破壊または紛失してしまう可能性も高まります(グループのうち1つでも紛失したら一巻の終わりです)。
さらに安全なのは、バックアップを3つに分割しつつ、そのうち2つがあればアクセスを復元できるようにする方法です。
これは非常にローテクで、分かりやすいやり方です。
たとえば、リカバリーフレーズが「A B C」だったとしましょう。 その場合、3枚の紙にそれぞれ「A B _」「A _ C」「_ B C」と書き留めます。 こうしておけば、3枚のうちどの2枚からでも「A B C」というフレーズを復元することができます。
これを24単語のリカバリーフレーズに適用する方法については、こちらのオンラインガイドを参照してください。
最後に
今は私たち全員にとって困難な時期です。 当社を支えてくださった皆様に、心から感謝いたします。 そして、Ledgerのすべてのお客様へ、今回のようなことが二度と起こらないよう、当社は24時間体制で取り組んでおり、お客様の信頼に応えられるよう全力を尽くしていくことをお約束します。
今後もLedgerはお客様のご協力のもと、より優れた、より強力かつ安全なエクスペリエンスを提供していきます。