この記事は日経 xTECH有料会員または、日経コンピュータ購読者限定ですが、2018年5月7日5時まではどなたでもご覧いただけます。

仮想通貨の巨額流出事件をきっかけに、秘密鍵を個人が安全に管理できる「ハードウエアウォレット」に注目が集まる。だが、このハードウォレットを狙うマルウエアが早くも現れた。銀行を狙うトロイの木馬やフィッシングなど既存の脅威も衰えを見せない。自身の財産を守るためにも、サイバー攻撃の最新動向を知っておきたい。

「Ledger Nano S」(左)などハードウエアウォレットを狙うマルウエアが登場。楽天カードを装うスパムメール(右)の被害も相次ぐ。(写真提供:日本サイバー犯罪対策センター/右))
[画像のクリックで拡大表示]

 今、仮想通貨の秘密鍵を保管する専用装置が売れている。携帯音楽プレイヤーほどの大きさで、USBケーブルでPCに接続する「ハードウエアウォレット」だ。仏メーカー、レジャーの国内販売代理店であるEarth Shipによれば、仮想通貨「NEM」が流出した事件の直後、レジャーのハードウエアウォレット「Ledger Nano S」の販売台数が事件前の約50倍に膨らんだという。ところが、そのハードウエアウォレットを攻撃するマルウエアが現れた。

 秘密鍵は仮想通貨を自分の口座から別の口座に送金する際に使う。Webサービス上で秘密鍵を保管する「ウェブウォレット」やPCで保管する「デスクトップウォレット」と比べ、ハードウエアウォレットは秘密鍵をネットワークから物理的に切り離せるため安全と言われてきた。

リカバリーフレーズの記録用紙。Ledgerの画面 に表示される24個の単語を記録する。この単語 列を使えば、Ledgerの秘密鍵を復元できる。(写真提供:Earth Ship)
[画像のクリックで拡大表示]

 Ledger Nano S(以下、Ledger)の場合、購入したユーザーは本体の操作に必要なPINコードを設定。次に24単語の「リカバリーフレーズ」がランダムにLedgerの有機EL画面へ表示されるので紙に記録しておく。この24単語を基に秘密鍵が生成され、秘密鍵から公開鍵や口座アドレスが決まる。

 PINコードを間違えたり忘れたりしても、記録しておいたリカバリーフレーズを再度入力すれば同じ秘密鍵を使える。秘密鍵が分かれば保有する仮想通貨は失われない。

 送金や入金の手続きには「Google Chrome」上で動く専用の公式アプリのほか、本来はデスクトップウォレット用アプリである「Electrum」からもハードウエアウォレットを使える。これらのアプリに送金先アドレスや送金量を入力すると、アプリがトランザクション(取引)データを生成し、ハードウエアウォレットに送信。するとハードウエアウォレットが秘密鍵で電子署名を施し、アプリに返す。この過程で秘密鍵がPC側に漏れることはない。署名済みデータをアプリがブロックチェーンネットワークに送信することで、送金が完了する。

 マルウエアが狙うのは、取引データを生成するこれらのアプリだ。