MetaMask(メタマスク)は、イーサリアム系のブロックチェーンに対応したソフトウェアウォレットです。MetaMask は、イーサリアムなどの暗号資産の購入や送受信などの管理ができることはもちろんですが、ブロックチェーンを活用したweb3系のサービスを利用するための定番ツールにもなっています。しかし、MetaMask には暗号資産の所有を証明するための秘密鍵が保存されているため、セキュリティに注意して使う必要があります。そこで今回は、MetaMask を安全に使う方法をまとめてみました。
「シークレットリカバリーフレーズを教えて」は、すべて詐欺!
記事が長くなってしまいましたので、もしお時間のない場合は MetaMask を使う前にこれだけでも覚えて帰ってください。それは、、、
です。
MetaMask を使う前に、シークレットリカバリーフレーズというものを安全に保管しておく必要があるのですが、この「シークレットリカバリーフレーズを他人に教える」ことは、例えるなら「キャッシュカードと暗証番号を他人に渡してしまうのと同じ」ことになります。
MetaMask のサポートの方であっても、MetaMask の利用者にシークレットリカバリーフレーズをたずねることは絶対にありません。どのような理由があったとしても、シークレットリカバリーフレーズは他人に絶対に教えないようにしてください。
MetaMask の基礎知識
MetaMask を安全に使うためには、はじめに MetaMask の仕組みを理解しておく必要があります。
それでは確認していきましょう。
MetaMask の動作環境
MetaMask は、Webブラウザの機能拡張(アドオン)もしくは、スマートフォンアプリとして提供されています。
2022年10月現在、MetaMask が対応している Webブラウザは、Chrome、Firefox、Brave、Edge、Opera、スマートフォンアプリは、iOS、Android に対応しています。
暗号資産の購入は不要
MetaMask 自体は無料で利用できますので、MetaMask を使う目的によっては暗号資産を購入する必要はありません。当然ですが、暗号資産を購入する必要がなければ、暗号資産取引所の口座も必要ありません。
例えば、スマートコントラクト(ブロックチェーンにブログラムを保存し実行できる仕組み)の勉強をするために MetaMask を使う場合や、テストネット(その名の通りテスト用のブロックチェーン)を利用する目的であれば、暗号資産の購入は不要です。
MetaMask が対応しているブロックチェーン
2022年10月現在、MetaMask が対応しているブロックチェーンは、主にイーサリアムもしくはイーサリアムから派生したブロックチェーンです。ビットコインには対応していませんので、MetaMask でビットコインを扱うことはできません。
MetaMask の仕組み
MetaMask は、秘密鍵(暗号資産の所有を証明するためのとても大切な鍵です)を暗号化して、MetaMask をインストールしたパソコンやスマートフォン”のみに保存”します。
暗号化された秘密鍵は、MetaMask に設定したパスワードを入力しない限り使うことはできません。また、パソコンやスマートフォンが故障して秘密鍵を失ったとしても、MetaMask の「シークレットリカバリーフレーズ」さえあれば、秘密鍵を復元することができます。
MetaMask を使う上で理解しておくべきことは、MetaMask の提供元は、利用者のメールアドレス、MetaMask に設定したパスワード、シークレットリカバリーフレーズ、秘密鍵、ウォレットのアドレスなど、MetaMask 利用者の情報を一切保持しないということです。 すなわち利用者は、MetaMask で扱う暗号資産を完全にコントロールできる一方、暗号資産のセキュリティにも責任を持ちます。
一部のウォレットとは異なり、MetaMaskは、顧客の情報を保持しません。メールアドレス、パスワード、Secret Recovery Phrase、他の秘密鍵も保持しないのです。暗号アイデンティティにかかわるすべての権限は、あなたにあります。
MetaMask の提供元
MetaMask は、米国の ConsenSys(コンセンシス)というイーサリアム系のブロックチェーンを専門に扱う大手テクノロジー企業が開発し、利用者に無料で提供しています。
ConsenSys は、2014年にイーサリアムの共同設立者のジョセフ・ルービン氏によって創設されました。MetaMask の他に、Quorum という商用のブロックチェーンシステムや、Infra や Truffle といった、イーサリアムでのスマートコントラクト開発ツールなども提供しています。
これは余談になりますが、イーサリアムなどのブロックチェーンは、非中央集権性が魅力である一方、イーサリアムでのスマートコントラクト開発では、ConsenSys が提供する Infra や Truffle に依存することが多く、スマートコントラクトの利用においても MetaMask が定番のツールになっていることから、この状況は非中央集権とは言えないのでなないか? といった指摘もあります。
このような指摘はありますが、MetaMask は、イーサリアムの発展を心から願う企業が開発し、そのコードは第三者によってセキュリティ監査もされていることから、MetaMask 自体の安全性は高いと言えるでしょう。
MetaMask のインストールと初期設定
それでは、実際に MetaMask をインストールしてみましょう。
以下は、Webブラウザ Chrome に MetaMask をインストールする手順ですが、注意するポイントはスマートフォンアプリの MetaMask でも同じです。
MetaMask のインストール
MetaMask の公式サイト https://metamask.io/ を開きます。
URLが「https://metamask.io」であることを必ず確認してください。(MetaMask の偽物サイトによる被害が報告されています)
「Download for Chrome(アイコン)」をクリックします。
Chrome ウェブストアが開きますので、「 Chrome に追加」をクリックします。
MetaMask に与える権限を確認し「機能拡張を追加」をクリックします。
以下のような画面が表示されれば MetaMask のインストール完了です。続いて MetaMask の初期設定を行います。
MetaMask の初期設定
初期設定では、MetaMask のパスワードの設定し、「シークレットリカバリーフレーズ」を確認して安全に保管します。お手元に紙とペンを準備してください。
準備ができたら「開始」をクリックします。
「MetaMaskの品質向上へのご協力のお願い」の内容に同意できる場合は「同意する」をクリックします。(「結構です」をクリックしても MetaMask の動作にはなにも影響ありません)
「ウォレットを作成」をクリックします。
MetaMask のパスワードを設定します。自分以外の人が推測できないパスワードを入力して「作成」をクリックしてください。
ここで設定するパスワードは、MetaMask に保存されている秘密鍵やシークレットリカバリーフレーズを守るための最後の砦です。パソコンやスマートフォンのパスワードとは異なるものを設定しましょう。
MetaMask を使う上で最も重要な「シークレットリカバリーフレーズ」についての説明です。ビデオを見てしっかり確認しましょう。(英語が苦手な方でも字幕を「Japanese」にすれば十分理解できる内容です)
確認が終わったら「次へ」をクリックしてください。
シークレットリカバリーフレーズを表示して、用意した紙に書き写してください。もし、1Passwordなどの安全なパスワードマネージャーをお使いならそちらにも保存することをお勧めします。(シークレットリカバリーフレーズは暗号化されて保存されます)
どのような理由があっても、シークレットリカバリーフレーズをパソコンやスマートフォンにそのまま保存することは絶対にしてはいけません。シークレットリカバリーフレーズをダウンロードしたり、ファイルにコピペしてしまった場合は、すみやかに削除しましょう。
シークレットリカバリーフレーズを書き写したら「次へ」をクリックしてください。
最後に、書き写したシークレットリカバリーフレーズが正しいことを確認します。書き写した12個の単語(フレーズ)を順番に選択して「確認」をクリックします。
以下の画面が表示されれば、MetaMask の初期設定完了です。「安全に保管するためのヒント」を確認しておきましょう。
ヒントにもあるように、シークレットリカバリーフレーズを書き写した紙は、複数の安全な場所に保管してください。
パスワードとシークレットリカバリーフレーズは別物
MetaMask のパスワードとシークレットリカバリーフレーズは、混同してしまうことがよくあるため、少し補足しておきます。
パスワードとシークレットリカバリーフレーズどちらも秘密にしておくものですが、役割がまったく違います。下の図のようにパスワードは、MetaMask に保存されているシークレットリカバリーフレーズや秘密鍵を守るためのもの、シークレットリカバリーフレーズや秘密鍵は、守るべきそのものです。(秘密鍵はシークレットリカバリーフレーズから復元できますので、この2つは同じものと考えてください)
最も重要なのは、「シークレットリカバリーフレーズ」(および「秘密鍵」)です。MetaMask のパスワードを他人に知られても MetaMask をインストールしたパソコンやスマートフォンがなければ、暗号資産を奪われることはありませんが、シークレットリカバリーフレーズ(または「秘密鍵」)を他人に知られてしまった場合、暗号資産は簡単に奪われてしまいます。
また、シークレットリカバリーフレーズは、MetaMask の秘密鍵、すなわち暗号資産のバックアップにもなりますので、忘れないように安全な場所に保管しておく必要があります。(MetaMask のパスワードを忘れたとしても、シークレットリカバリーフレーズがあれば秘密鍵を復元できます)
MetaMask の安全な使い方
最後に、MetaMask を安全に使うためのポイントをまとめておきます。
参考資料:MetaMaskでの基本的な安全とセキュリティのためのヒント
シークレットリカバリーフレーズを他人に教えない
繰り返しになりますが、シークレットリカバリーフレーズは、安全に保管し絶対に他人に教えてはいけません。
秘密鍵をエクスポートしない
MetaMask の秘密鍵は、シークレットリカバリーフレーズから復元できますので、バックアップなどの目的で秘密鍵をエクスポートする必要ありません。
秘密鍵をエクスポートしてしまうと秘密鍵を盗まれるリスクが増えますので、必要のない限り MetaMask の秘密鍵はエクスポートしないようにしましょう。当然ですが、秘密鍵も絶対に他人に教えてはいけません。
暗号資産を購入しない
MetaMask の基礎知識のところにも書きましたが、MetaMask 自体は無料で利用できますので、必要がなければ暗号資産を購入しないようにしましょう。万が一 MetaMask のハッキングや詐欺を受けたとしても、少なくとも金銭を奪われることはありません。
パソコンやスマートフォンのセキュリティを確保する
MetaMask を使うのであれば、パソコンやスマートフォンのセキュリティの確保は必須です。少なくとも以下のセキュリティ対策は実施しておきましょう。
- パソコンやスマートフォンに安全なパスワードを設定する
- 使用しない状態が一定の時間続いたら自動的にロックするように設定する
- すべてのソフトウェアを最新の状態する
攻撃者は、あの手この手でパソコンやスマートフォンを狙ってきます。OSベンダーのセキュリティサイトも参考にしてみてください。
自宅でコンピューターをセキュリティ保護する | Microsoft
Macのセキュリティを設定する | Apple
iPhoneに組み込まれているセキュリティおよびプライバシー保護を使用する | Apple
Android のセキュリティを高める方法 | Google
ハードウェアウォレットを利用する
ハードウェアウォレットは、インターネットとは接続されていない専用のデバイスに秘密鍵を保管するため、現時点で最も安全な暗号資産の管理方法です。(これを「コールドウォレット」とも呼びます)
2022年10月現在 MetaMask も、以下のハードウェアウォレットに対応しています。高額な暗号資産を扱うのであればハードウェアウォレットの利用を検討しましょう。
暗号資産を分散して保管する
MetaMask は、ブラウザのプロフィールを切り替えれば複数のアカウントを作成できますので、常時インターネットに接続して使う MetaMask(こちらは「ホットウォレット」と呼びます)には、必要最低限の暗号資産を保管し、高額な暗号資産は、ハードウェアウォレットを利用した MetaMask(コールドウォレット)に分散して保管することを強くお勧めします。
こうすることで、万が一、ホットウォレットの MetaMask がハッキングや詐欺を受けたとしても、被害を最小限におさえることができます。
おわりに
web3 は、ブロックチェーンを基盤として各種サービスが提供されます。これが Web 2.0 とは大きく異なる部分です。
そして、ブロックチェーンに記録される暗号資産、NFT、ガバナンストークンなどのセキュリティは、利用者一人一人が責任を持つことによって、本当の web3 すなわち分散型インターネットの世界がやってきます。
MetaMask を安全に使って web3 の新しい世界を楽しみましょう!
コメント