このスレッドは私がMetaに投稿したスレッド
[Guide] Bitcointalk account security の和訳です。幸いなことに日本語板ではまだBitcointalkアカウントのハッキング被害は出ていないと思われますが、Bitcointalk特有のシステムの難しさや問題点もありますので、アカウントのセキュリティには十分に気をつける必要があります。Bitcointalkアカウントに限らず取引所アカウントのセキュリティなどに応用可能な情報も載せてあります。
注意:アカウント復旧のプロセスがアップデートされました。
[1]
Recovering hacked/lost accounts[2]
Account recoveries are moving againもしアカウントがハッキングされた場合はtheymosの投稿[1]に記載されているメールアドレスにメールを送ってください。
メールアドレスは定期的に更新されるため、上のスレッドを開いて最新のアドレスを確認してください。
Metaではハッキングあるいはロックされたアカウントに関するスレッドが毎日立てられております。初心者だけではなく、Legendaryアカウントも多く含まれています。通常のブルートフォース型のハッキングリスクに加えて、Bicointalkの現在のシステム特有のリスクや、
2015年5月22日のデータ漏洩に起因するリスクも存在します。パスワード変更の際のメールによる本人確認、2段階認証システムの導入、アカウント復旧プロセスの自動化、新しいフォーラムソフトウェアによるより強固なセキュリティなど、フォーラムのセキュリティ面での本質的な改善が望まれます。
このような機能が実装されるまで、我々ができることは、現在のBitcointalkのシステムがどのようなものなのか理解し、どのようにして個々人のアカウントのセキュリティを高めることができるのか、また、万が一アカウントがハッキングやロックをされた場合に何をすべきなのかを学ぶことです。このスレッドではこれらの話題に関して包括的なガイドを提供することを目的として立てられました。このスレッドによりハッキングやロックを受けるアカウントが減ることを願っています。
目次
基礎的事項
1.
https://bitcointalk.org/ をブックマークし、常にブックマークからログインしましょう。bitcointalk.to, thebitcointalk.net などのフィッシングサイトは避けましょう。
2. 他のサイトでは使用しない新しいメールアドレスを登録しましょう。
3. 他のサイトでは使用しない新しいパスワードを登録しましょう。十分な長さで、小文字・大文字・数字・記号を混ぜたパスワードを設定しましょう。
4. パスワードを忘れた時のために秘密の質問とその答えを設定することが可能ですが、Bitcointalkの場合この機能はアカウントのハッキングとロックのリスクを高めることに留意してください。詳しくは下記のTipsと
パスワード・メールアドレスの変更 / パスワードを忘れた場合の項をご覧ください。
5. 信頼できないソフトウェアはダウンロードせず、常にデバイスをマルウェアの脅威から守りましょう。
6. 全てのデバイスとソフトウェアは最新版にアップデートして使いましょう。
7. Bitcoinアドレスをステークしましょう。詳しくは
Bitcoinアドレスのステークの項をご覧ください。
TipsTips for 1: フィッシングサイト- いくつかのフィッシングサイトへのリンクは自動的に[phishing]に置き換えられますが、bitcointalk.to と thebitcointalk.net に対してはこの機能はまだ実装されていません。
こちらの投稿をご参照ください。
- 万が一あなたのアカウント情報をフィッシングサイトに入力してしまった場合はハッキングされる可能性がありますので、直ちに bitcointalk.org にログインしてパスワードを変更しましょう。
- リンクをクリックする前に、実際のリンク先URLを確認しましょう。ブラウザによっては、マウスオーバーによりURLが表示されます。
- リンクをマウスオーバーした際、bitcointalk.org 内のリンクは(アンカーを除いて)緑色に変化しますが、外部サイトへのリンクは青色のままです。この機能によりフィッシングサイトへの偽装リンクを見破ることが可能です。
ホモグラフアタックを利用した偽装リンクの例は以下の通りです。
本物
https://bitcointalk.org/偽装
https://bitcоintalk.org/ (google.comへのリンク)
2番目のリンクは青色のままなので偽装リンクであることを確認できます。
- ホストファイルを編集することで、そのパソコンから特定のフィッシングサイトへアクセス不可能にする方法もあります。より詳しくはLoyceVによる
この投稿をご覧ください。
Tips for 2: メールアドレス - Gmailのエイリアス機能を使えば複数のアドレスを生成することができますが、例えば
[email protected]のエイリアスは
[email protected]の形でaddの部分を選ぶことになるため、オリジナルのアドレスが何であるか分かります。
- 使い捨てメールアドレスであるyopmailは誰でもアクセスできますので避けましょう。
Tips for 3: パスワード- 英単語、誕生日、ペットの名前、電話番号、その他ハッカーが簡単に推測できるもの、
The Worst 25 Passwords of 2017のリストに含まれるものをパスワードに使うことは避けましょう。
- 2015年にパスワードデータが漏洩したため、それ以前からフォーラムを利用しパスワードを変更していない場合は、パスワードの変更が推奨されます。
- ブラウザのオートフィル機能を使っている場合は、その機能がURLごとにパスワードを区別しているのか、あるいは区別なしにパスワードを記憶しているのか、調べておきましょう。もし後者であればその機能は使わないほうがよいでしょう。前者の場合であっても、ブラウザのアップデートに伴い機能が変更される可能性もあるため、常に注意しましょう。
- ログイン時に "Always stay logged in" を選択するとことで、毎回パスワードを入力する必要がなくなります。
- パスワードマネージャーは例えば
The Five Best Password Managersをご覧ください。
- さらなるTipsについてはmapuche33による
この投稿をご覧ください。
Tips for 4: 秘密の質問- 秘密の質問についてはいくつか重要な点があります。
1) メールによる本人確認のステップはありません。そのため、秘密の質問はハッキングやロックのリスクを高める可能性があります。
2) 秘密の質問を用いてパスワードがリセットされた場合、そのアカウントはロックされ、
アカウントのアンロックのプロセスを経なければ復旧できません。もしあなたのアカウントが通常通りあなたの管理下にあるならこのロックの機能は弊害でしかありません。もしあなたのアカウントがハッキングされていた場合にはロックの機能を防衛手段の一つとして使うことが可能ですが、この機能が有効となるのも稀なケースでしょう。なぜならハッカーはアカウントをハックした直後に秘密の質問を編集してしまう可能性が高いですし、また、この機能を使わずとも、ハッカーによるパスワード変更から14日以内であればフォーラムからの通知メールに記載されたリンクからあなたのアカウントをロックすることができるからです。
3) 秘密の質問はいつでも削除することが可能です。SFR10による
この投稿をご参照ください。
Tips for 5: 信頼できないソフトウェア- 信頼できないソフトウェアやアルトコインのウォレットはバーチャルマシン上で利用することも可能です。
パスワード・メールアドレスの変更 / パスワードを忘れた場合
- パスワードは以下の方法で変更できます。
1) プロフィールページ
2) ログイン画面の "Forgot password" リンク
3) 秘密の質問を用いたパスワードリセット。ただし、この場合アカウントはロックされます。
- パスワード変更/リセットが行われた場合、変更履歴がTrustのページに表示されます。1) か 2) の場合は3日間、3) の場合は30日間表示されます。
セキュリティログのページにはいずれの場合も30日間表示されます。
- メールアドレスはプロフィールページから変更可能です。メールアドレスの変更履歴もTrustページに表示されます。
- パスワードかメールアドレスが変更された場合、フォーラムから通知メールが(変更前の)メールアドレスに送信されます。
TipsTips for 2): "Forgot password" オプションの使い方ログイン画面で "Forgot your password?" をクリックします。
ユーザー名かメールアドレスを記入し、 "send" をクリックします。
以下のメールが登録メールアドレスに送信され、リンクからパスワードをリセットできます。
1. 私はログイン画面の"Forgot password"のオプションを使って、パスワードリセットのリンクが記載されたメールをyopmailアカウントに送信しました。
2. yopmailを開いてパスワード変更後、メールアドレスも変更し、さらに秘密の質問も設定しました。
3. その後、ハッカーが再度パスワードを変更できないようにするために、yopmailアカウント内にあったフォーラムからのメールを全て削除しました。
ハッキングやロックされたアカウントの復旧
もしあなたのアカウントがハッキングされパスワードとメールアドレスを変更された場合、またはあなたがパスワードを忘れ登録したメールアドレスにアクセスできずパスワードリセットを使用できない場合、または2015年のデータ漏洩以降ログインせずアカウントがロックされてしまった場合、最後の手段としてアカウントの復旧を申請することができます。しかしこの手段に過度に期待することは禁物です。なぜならアカウント復旧の優先順位は低く、復旧まで長い期間がかかることや、あるいは復旧不可能な場合も多いからです。theymosの公式アナウンスは
Recovering hacked accounts or accounts with lost passwordsのスレッドにあります。
1. アカウント所有権を証明するために、あらかじめステークしたBitcoinアドレスを用いて署名付きメッセージを作成します。メッセージの例は以下の通りです。
-----BEGIN BITCOIN SIGNED MESSAGE-----
My account has been hacked/lost. Please reset the email to . The current date is .
-----BEGIN SIGNATURE-----
-----END BITCOIN SIGNED MESSAGE-----
2. 署名付きメッセージをアドミニストレーターに送信する前に、
Brainwallet,
Blockexplorer などを使って自分で確認しましょう。
3.
アカウント復旧後に使いたいアドレスとは異なるメールアドレスを用いてBitcointalk代替アカウントを作成します。
4. 上記の署名付きメッセージとBitcoinアドレスをステークした投稿へのリンクを、theymos, Cyrus にPMで送ります。
アカウント復旧までには数カ月か年単位の時間がかかる可能性があります。その間に、必須ではありませんが、以下のプロセスを行うことが考えられます。
5. 代替アカウントを使ってMetaセクションにスレッドを立てます。
6. 他のメンバーに、送信したPMが必要な情報を全て含んでいるか確認してもらったり、一般的なアドバイスを求めることができます。
7. DTメンバーに、ハッキングされたアカウントに赤いTrustをつけてもらうように署名付きメッセージを用いて依頼することができます。
TipsTips for 1: BitcoinアドレスもしあなたがあらかじめBitcoinアドレスをステークしていなかった場合でも、他の手段であなたのアカウントの所有権を証明できる可能性があります。ベストの選択肢ではありませんが、他の選択肢としては、バウンティキャンペーンの参加者リスト中に記録されたあなたのアドレス(基本的にハッカーが編集不可能です)、Marketplaceやバウンティスレッドなどの過去の投稿に記載されたアドレス(ハッカーはあなたの過去の投稿を編集・削除できるので、投稿が未編集であるか、最終編集日がハッキング以前であるか、スレッドがロックされている場合に限りオリジナルの投稿であることが証明されます)、プロフィールに記載されたアドレス(ハッカーが編集可能なので、特別な事情がない限り証拠として受理されるのは難しいでしょう)などです。これらの選択肢も証拠として受理される可能性がありますが、やはり最善の方法はBitcoinアドレスをステークして他のメンバーに確認と引用をしてもらうことです。
Tips for 3: PM最初に送るPMが最も重要です。全ての必要事項を明記しましょう。記入漏れがあった場合、復旧できなくなる可能性があります。
Tips for 5: スレ上げスレ上げは24時間ごとに1回までです。スレ上げのための投稿は最新のものだけを残し、古いものは削除してください。
Tips for 7: 赤いTrustハッキングされたアカウントにDTメンバーによるコメント付きの赤いTrustをつけてもらえば、そのアカウントがハッキングされたものであることが広く周知されます。これによりハッカーはあなたのアカウントを利用して、バウンティキャンペーンに参加したり、マーケットプレイスで詐欺を働いたり、アカウント売却を行うといったことが難しくなります。他のメンバーがハッキングされたあなたのアカウントにより詐欺に遭う可能性を減らすことができます。アカウントがあなたの管理下に戻った時には、DTメンバーに署名付きメッセージで赤いTrustを外してもらうよう申請する必要があります。
(文字数制限のため
#2 へ続く)