2022年7月31日まで期間限定!新規口座開設だけで10,000円分のビットコインGET!

MetaMaskのブラインド署名は大手サービス以外NGです【正しいMetaMask運用法】

安全に資産運用したい人
・Metamask(メタマスク)のブラインド署名って何?
・ブラインド署名が危険って聞くけど、どうして?
・危険なブラインド署名を見破るにはどうすればいい?

本記事はこのような方向けに投資歴8年の著者ジョンが「MetaMaskブラインド署名の概要・安全性」についてガチ解説していきます。

本記事を読むメリット
  • MetaMaskブラインド署名を1分で理解できる
  • ブラインド署名をきっかけに起きた事件が分かる
  • MetaMaskを安全に利用できるようになる

MetaMaskのブラインド署名とは?【概要解説】

MetaMaskのブラインド署名とは?【概要解説】

【基礎知識】よく使われる用語「署名」とは?

MetaMaskにおける「署名」とは「特定のアドレスに対する処理を進めるため、自分がアドレス保有者であると証明すること」です。言葉にするとメッチャ分かりづらいですね…!

しかし、コレ、実は超カンタンです。現実世界で「署名する」とは何か、考えてみましょう。

・取引先と契約するとき:契約書への同意のためハンコで「署名」する
・郵便物を受け取るとき:本人確認のためサインで「署名」する

このように皆さんは身近で「署名」をした経験があるハズで、それは全て「本人確認をして取引を進めるため」に行われています。MetaMaskにおける署名も、目的はこれと全く同じです。

【応用知識】ブラインド署名とは

ブラインド署名とは「契約書の中身が分からずに行う署名」のことです。文字通り「ブラインド=見えない」署名という意味で使われています。

コレの危険性分かりますでしょうか?再び現実世界に置き換えて考えてみます。

・取引先と契約するとき:契約書の内容は分からないけど「署名」する
・郵便物を受け取るとき:差出人も物品も身に覚えはないけど「署名」する

両方とも、かなり怖いですよね。もし契約書に「1,000万円支払う」なんて書かれてても後戻りできないわけですから。

つまり、ブラインド署名とは「何も分からないけど署名する」という危険性の高い署名方法です。

【実際の画像】MetaMaskでの署名

「署名」画面はMetaMask利用者なら、誰もが見たことがあると思います。下記のようなポップアップです。

【実際の画像】MetaMaskでの署名※参考:こちらのTweet

このときピンク枠「Message」欄に表示されるのが契約内容で、画像左の「0x~」から始まる署名が「ブラインド署名」です。これだけ何言ってるか分かりませんよね?

画像中央と右の署名は「Message」枠に英語でテキスト・契約内容が記載されています。ブラインド署名には、このような記載が一切なく「何に署名をしたか」が分からないようになっています。

仮想通貨を利用するならブラインド署名の利用は避けられないので、ハッキングをうまく対策する方法を知っておく必要があります。

ジョン
ブラインド署名の対策・上手な付き合い方は記事後半で解説します!

ブラインド署名がきっかけで起きた事件【過去の事例】

ブラインド署名がきっかけで起きた事件【過去の事例】

2020年12月に仮想通貨保険サービスの「Nexus Mutual」創業者Karpさんが8億円余りを盗まれました。

Karpさんは日課のステーキング報酬受取のためにMetaMaskでDeFiプロトコルのトランザクションに署名したつもりが、実は偽のトランザクションを承認してしまったのです。それにより彼のPCはハッキングされ、約8億円の資産がMetaMaskから不正に送金されてしまいました。

これは100%原因がブラインド署名とは限りません。しかし「契約の中身をちゃんと確認していたら」確実に防ぐことができたのは間違いありません。

とはいうものの、偽の署名がブラインド署名だった場合、それがニセモノであることを確認する手段はなく、僕たちユーザーからは完全にお手上げです。詰みです。

「だったらブラインド署名なんて全部無視すりゃいいじゃん」と思うかもしれませんが、ブラインド署名は大手サービスの利用に必須であり、クリプトをいじるうえで必要不可欠というジレンマを抱えています。

そんなワケでブラインド署名を用いたハッキングは非常に合理的で、多くのハッカー達が活用しているのです。

このようなブラインド署名と上手く付き合う方法を、これから解説していきます。

正しいMetaMask運用法【厳選3つ】

正しいMetaMask運用法【厳選3つ】

結論、下記3つの運用を心がけましょう。

  • 運用法①:大手サービス以外はブラインド署名しない
  • 運用法②:署名するときは必ず内容を確認する
  • 運用法③:ハードウェアウォレットではブラインド署名を承認しない

運用法①:大手サービス以外はブラインド署名しない

一番重要なことです。大手サービス以外でブラインド署名をすることはヤめましょう。

ちなみにですが、ぼく個人がブラインド署名をしてるサービスは、下記3つしかありません。

Opensea、1inch、DYDX

もし他のサービスでブラインド署名を要求されたら、そのサービスが信頼できるかどうか、キッチリ調べておきましょう。

調べておくべきポイント

・ユーザー数
・チーム
・運営歴
・Twitterフォロワー数、Discord/Telegram人数
・SNS、Webでの口コミ

最低限、上記5つは調べたうえで署名するようにしてください。

運用法②:署名するときは必ず内容を確認する

ブラインド署名以外の署名をするときは、必ず「Message」内容を確認しておきましょう。

例えば、先ほどの図の中央・右のような署名です。

【実際の画像】MetaMaskでの署名

このように「Message」は非常に重要な項目なので、今後は必ずチェックするようにしてください!

運用法③:ハードウェアウォレットではブラインド署名を承認しない

Ledgerなどハードウェアウォレットではデフォルトで「ブランド署名がオフ」になっています。これを「オン」にしないようにしましょう。

例えばOpenseaなどに直接ハードウェアウォレットをつなぐと、下記のような「ブラインド署名を有効にします」というポップアップが出てきます。これは承認してはいけません。

運用法③:ハードウェアウォレットではブラインド署名を承認しない

基本的にOpenseaなどブラインド署名を求められるサービスにハードウェアウォレットを直接接続するのは推奨できません!

あくまでハードウェアウォレットはオフラインでの資産保存用として運用するのがセキュリティ上はベストです。

まとめ:ブラインド署名には気を付けましょう!

最後に本記事のまとめです。

  • ブラインド署名とは「契約内容非開示の署名」のこと!
  • 大手サービス以外でブラインド署名はヤめましょう!
  • ハードウェアウォレットは保存用にのみ利用しましょう!

ではでは、本記事は以上となります。ありがとうございました。

コメントを残す

メールアドレスが公開されることはありません。