====== 260131 Qubicユーザーのための完全セキュリティガイド：ウォレット保護とベストプラクティス ======

出典：[[https://qubic.org/blog-detail/how-to-secure-your-qubic-wallet|Complete Security Guide for Qubic Users: Wallet Protection & Best Practices | Qubic Blog]]

執筆：Qubicチーム / 公開日：2026年1月31日

{{ .:pasted:20260131-215333.png?400}}

　最近、[[tag:column:260129-garth-incident-timeline|コミュニティメンバーの一人がセキュリティインシデントに遭い、資金が侵害される事件]]が発生しました。これは私たちが二度と繰り返したくない物語です。

　暗号資産の[[tag/セキュリティ]]は容赦ありません。カスタマーサポートのホットラインはなく、取引を取り消してくれる銀行もありません。

　デジタル資産が一度失われれば、それは永遠に消え去ります。窃盗に対する唯一の真の防御策は、[[tag/セキュリティ]]と予防です。

　このガイドでは、QUBIC の保有資産を安全に保ち、ハッキング、詐欺、その他の危うい状況から自分を守るために、今すぐ実行できる具体的なステップを説明します。

　参考 >> [[https://drive.google.com/file/d/1ON4Al9UPV5ckQsz0KO5J3-X2Tr15KUl0/view?usp=drive_link|Google NotebookLM による スライドPDF]]

[[https://drive.google.com/file/d/1ON4Al9UPV5ckQsz0KO5J3-X2Tr15KUl0/view?usp=drive_link|{{.:pasted:20260131-231946.png?600}}]]


===== 基本事項：窃盗に対する第一防衛線 =====

==== アプリベースの二要素認証 (2FA) を有効にする ====

<WRAP round important 60%>
　**SMSベースの [[tag/2FA]] は「セキュリティの幻想」です。**

　2024年には SIMスワップ攻撃が 1,000%以上増加しており、攻撃者は携帯キャリアの従業員を操作してテキストメッセージを日常的に傍受しています。電話番号を乗っ取られれば、アカウントも乗っ取られます。
</WRAP>


　すぐに暗号資産関連のアカウントに認証アプリを追加してください。一般的に使用されているものは以下の通りです：

  * **Google Authenticator (Android/iOS):** 
    * オフラインで時間ベースのコードを生成します。

  * **Authy (Android/iOS):** 
    * リカバリ用の暗号化クラウドバックアップが含まれます。

  * **Aegis Authenticator (Android):** 
    * オープンソースでプライバシーを重視しています。

　最高レベルのアカウントセキュリティを求めるなら、取引所アカウントやメール用に **YubiKey** のような[[tag/ハードウェアセキュリティキー]]を検討してください。

　これらのデバイスは認証に物理的な所有を必要とするため、リモートでのアカウント乗っ取りを極めて困難にします。SIMスワップとフィッシングの両方に耐性があります。

==== プライベートネットワークのみに接続する ====

<WRAP round important 60%>
　**公共の Wi-Fiネットワークは、ユーザーにとって重大なリスクとなります。**

　攻撃者は偽のホットスポットを設置したり、暗号化されていないデータを傍受したり、中間者攻撃を仕掛けて認証情報を取得したり、悪意のあるコードを注入したりすることが可能です。
</WRAP>


　コーヒーショップのネットワーク？ 暗号資産関連のことには避けてください。

　**ベストプラクティス:** 取引やウォレットへのアクセスには、自宅のネットワークまたはモバイルデータ通信を使用してください。

　どうしても公共 Wi-Fiを使用しなければならない場合は、信頼できる VPNサービスを介して接続してください。ただし、これも万全ではないことを理解しておく必要があります。最も安全なアプローチは、管理時に公共ネットワークを完全に避けることです。


==== 暗号資産専用のデバイスを使用する ====

<WRAP round important 60%>
　**日常的にブラウジングに使用しているデバイスには固有のリスクがあります。**

　ブラウザの拡張機能が侵害されたり、ダウンロードファイルにキーロガーが含まれていたり、訪問するすべてのウェブサイトが攻撃対象領域を広げることになります。

</WRAP>

  *  **高度な保護:** 
    * 暗号資産のアクティビティ専用のデバイスを用意することを検討してください。
    * 高価である必要はありません。最新のOSが動作し、アップデートされている基本的なノートPCやタブレットで十分です。
    * 重要なのは「隔離」です。カジュアルなブラウジング、個人のメール、検証済みのウォレットソフトや不可欠なセキュリティアップデート以外のダウンロードは一切行わないでください。

専用デバイスが難しい場合は、最低限以下を行ってください：

  * コンピュータ上に暗号資産専用の別のユーザーアカウントを作成する
  * ウォレットにアクセスする前に不要なブラウザ拡張機能を無効にする
  * OSとセキュリティソフトウェアを常に最新の状態に保つ
  * 他のアプリケーションを実行している間はウォレットにアクセスしない

===== ホットウォレット vs コールドウォレットの理解 =====

<WRAP round important 60%>
　「ホットウォレット」と「[[tag/コールドウォレット]]」の区別は資産保護において極めて重要です。

　ルールはシンプルです：**使うお金はホットウォレット、貯金はコールドストレージ。** インターネットに接続されたホットウォレットに多額の QUBIC を保管してはいけません。
</WRAP>

  * **ホットウォレット**は、
    * 常にインターネットに接続されています。
    * 頻繁な取引には便利ですが、オンライン攻撃に対して脆弱です。
    * 日常の財布のように考え、日常の支出用の現金だけを入れ、生涯の貯金を入れないようにしてください。

  * **コールドウォレット（ハードウェアウォレット）**は、
    * 秘密鍵をオフラインで保存します。
    * 取引に署名する際のみ、短時間接続されます。
    * [[tag/Hashwallet]]、Ledger Nano X、Ledger Nano S Plus、Trezorなどは、物理的およびリモート攻撃の両方から保護するために特別に構築されています。



==== HashWallet ====

　Qubic ホルダーにとって、**[[tag/HashWallet]]**は完全なネイティブサポートを提供しています。これは単に QUBIC を保持するだけではありません。Qubic [[tag/トークン]]、[[tag/シェア]]、[[tag/QEarn]] ステーキング、[[tag/QSwap|スワップ]]をデバイス上で直接処理できます。回避策やサードパーティのブリッジは不要です。

　セキュリティアーキテクチャも注目に値します。[[tag/HashWallet]] は、政府や軍事用途と同じレベルである **[[tag:eal6plus|EAL6+認定チップ]]** を使用しています。ファームウェアは設計上アップデート不可であり、偽のアップデートを通じた悪意のあるキー抽出のリスクを排除しています。


===== Qubic 特有のセキュリティ：MSVault マルチシグ保護 =====

<WRAP round important 60%>
　**[[tag/MSVault]] は Qubic のマルチシグ（複数署名）保管システムです。**

　これは共有の金庫のように機能し、複数の所有者が取引を承認した場合にのみ資金を移動できます。

</WRAP>


　1,000億 QUBIC以上の保有資産がある場合、シングル署名のウォレットでは不十分です。一つの鍵が侵害されれば、すべてを失います。


　この[[tag/msvault|マルチシグウォレット]]が提供するもの：

  * **共有管理:** 
    * 2-of-3（3つ中2つ）や3-of-5（5つ中3つ）の承認が必要なように設定できます。一つの鍵が侵害されても、資産は保護されます。

  * **柔軟な構成:** 
    * 所有者の数（2〜16人）と承認の閾値を選択できます。個人用なら異なる物理的場所に保管された鍵で 2-of-3、ビジネスならチームメンバーが持つ鍵で 3-of-5といった設定が可能です。

  * **オンチェーン検証:** 
    * すべては Qubicの[[tag/スマートコントラクト]]・インフラを通じて行われます。仲介者はおらず、プロトコル自体以外の信頼前提はありません。

　[[:/tag/msvault#手数料|コスト]]は年間 約50ドル（取り引き毎に掛かる手数料もあります）です。多額の資産に対する保険としては手頃な価格です。[[tag/MSVault]] は現在ネイティブ QUBIC をサポートしており、カスタムトークンのサポートも開発中です。



===== ユーザーのための通信セキュリティ =====

==== デジタルアイデンティティを分離する ====

　個人の電話番号は現実の身元に紐付いています。銀行、メールの復旧、SNSにリンクされています。攻撃者が標的を調査する際、これが「引き抜かれる糸」になります。

　暗号資産に関連する Telegram や WhatsApp アカウントには、別の電話番号を使用することを検討してください。Google Voice や セカンダリSIMカードを使用して、暗号資産のアイデンティティと私生活を切り離します。

==== 取引所アカウント専用のメールを作成する ====

　取引所のログイン専用の新しいメールアドレスを設定してください。**Proton Mail**などはエンドツーエンドの暗号化を提供しており、身元に紐付きません。このメールを他のこと（ニュースレター、SNS、ショッピングなど）には決して使用しないでください。

これにより、メインのメールがデータ漏洩で侵害されても、取引所アカウントは隔離され、保護されたままになります。

===== シードフレーズのセキュリティ：復旧キーを守る =====

<WRAP round important 60%>
　**[[tag/秘密鍵|シードフレーズ]]がすべてです。**

　それを持っている人は誰でも、あなたの資金を完全にコントロールできます。

</WRAP>

  * **決してデジタルで保存しないでください。** 
    * スクリーンショット、メモアプリ、メールの下書き、クラウドストレージ、パスワードマネージャーですらダメです。
    * これらはすべて、攻撃の対象となります。

  * **紙に書いてください。** 
    * プリンタ（メモリが残るため）ではなくペンを使用してください。
    * その紙を火災に強い金庫や銀行の貸金庫など、安全な場所に保管してください。
    * 異なる物理的な場所に複数のコピーを置くことで冗長性を確保します。

　長期保存のために、シードフレーズを**金属プレート**に刻む人もいます。火や水は紙を破壊しますが、金属は紙が耐えられない災害を生き延びます。


===== 暗号資産セキュリティのべからず集 (Do's and Don'ts) =====

^ 項目 ^ ❌ やってはいけないこと ^ ✅ やるべきこと ^
| **[[tag/秘密鍵|シードフレーズ]]** | スクリーンショットやクラウド、メールに保存 | 紙に書き、オフラインで複数の安全な場所に保管 |
| **パスワード** | 他人と共有する | Bitwarden 等の管理ソフトで一意で複雑なものを使用 |
| **2FA** | SMS ベースの認証を使用 | 認証アプリや YubiKey 等の物理キーを使用 |
| **保管場所** | 多額をホットウォレットに置く | 多額はハードウェアウォレットや [[tag/MSVault]] へ移動 |
| **接続** | 公共WiFiを使用 | プライベートネットワークまたはモバイルデータのみ |
| **dApp 接続** | 出所不明な dApp に接続 | 接続を検証し、未使用の許可を定期的に取り消す |
| **DM 対応** | サポートを名乗るリンクをクリック | 公式チャネルのみ利用。運営は先に DM はしない |
| **SNS 活動** | 保有資産を公開の場で議論する | ポートフォリオを非公開にし、標的になるのを避ける |
| **取引実行** | 承認を急ぐ | アドレスと金額をダブルチェックし、時間をかける |
| **ブックマーク** | 検索エンジンからアクセス | [[https://wallet.qubic.org|wallet.qubic.org]] 等をブックマークして使用 |

===== 運用の習慣：日常の保護 =====

  * **署名前に必ずアドレスを検証する:** 
    * マルウェアがクリップボードの内容を書き換えることがあります。
    * コピーしたアドレスが、貼り付けたものと一致するか、最初と最後の数文字だけでなく一文字ずつ確認してください。

  * **テスト送金を最初に行う:** 
    * 新しいアドレスに送る際は、まず少額を送って着金を確認し、その後に残りを送ってください。
    * 手数料は2回分かかりますが（Qubic 間では[[tag:ガス代無料|手数料無料]]）、入力ミスやクリップボードの乗っ取りで全財産を失うより遥かに安上がりです。

  * **システムを最新に保つ:** 
    * OSのパッチ、ウォレットの更新、ブラウザの更新。
    * これらはハッカーが利用する脆弱性を修正します。
    * 更新の遅れは既知の攻撃に身をさらすことになります。

  * **公式リンクをブックマークする:** 
    * フィッシングサイトは本物と酷似したURLを使います。
    * 「Qubic wallet」で検索すると偽サイトに導かれる可能性があります。
    * [[https://qubic.org|qubic.org]] から本物のURLをブックマークしてください。

===== ソーシャルエンジニアリング：人間という攻撃ベクトル =====

　操作されてアクセス権を渡してしまえば、技術的なセキュリティは何の意味もありません。

  * **公式サポートが先にDMすることはありません:** 
    * Discord でも Telegram でも、どこでもです。
    * ヘルプや疑問を投稿した後に間髪入れずに Qubicサポートを名乗って接触してくる者は、100%詐欺師です。

  * **ギブアウェイ（配布）は疑ってかかる:** 
    * 「1,000 QUBIC 送れば 10,000 QUBIC返す」というのは盗難です。
    * 本物のキャンペーンはそのような仕組みではありません。

  * **「緊急性」は操作の手口:** 
    * アカウントが侵害されたというパニックメッセージや期間限定オファーは、理性をバイパスさせるための罠です。
    * 落ち着いて公式チャネルで確認してください。

  * **複数の公式ソースで情報を検証する:** 
    * 公式サイト、認証済みXアカウント、公式Discordのアナウンス。一箇所にしか出ていない情報は疑ってください。

===== 最後に =====

<WRAP round important 60%>
　**[[tag/セキュリティ]]は一度設定して終わりではなく、継続的な警戒が必要です。**

　脅威は常に進化し、攻撃手法は巧妙になっています。
</WRAP>

==== セキュリティを習慣にしましょう ====

  * 定期的に[[tag/セキュリティ]]慣行を見直す
  * [[tag/ウォレット]]にアクセスしている dApp を監査する
  * バックアップが機能するかテストする

　コミュニティで起きた最近のインシデントは、経験レベルに関係なく誰にでも起こり得ることを証明しています。資産を守るか失うかの差は、たった一つのセキュリティ上の決断にかかっています。

　今すぐ行動してください。未来のあなたが感謝することでしょう。


<WRAP center round important 80%>
**注意:**
  * 公式サポートは、あなたより先に ダイレクトメッセージ（DM） を送ることは絶対にありません。
  * 受け取ったメッセージもアカウントのプロファイルを表示して、
    * 連絡してきたのが本物か「ドットやスペースが含まれてないか、一部が欠けていないか」等を慎重に確認して下さい。

</WRAP>


{{tag>260131 セキュリティ ウォレット news 事件 ハードウェアセキュリティキー NotebookLM  blog }}