Author

Topic: [ガイド] Bitcointalkアカウントのセキュリティ (Read 274 times)

hero member
Activity: 536
Merit: 513
アカウント復旧のプロセスがアップデートされましたのでOPに追記しました。今後はよりスムースな復旧が可能となるようです。
full member
Activity: 714
Merit: 158
To live is to think
Bitcointalkのアドレスがハッキングされてしまう等の万が一の事態に備え、
以下のsnccさんのアドレスステーキングの項を参考に、ご自分のアドレスの証明を行っておきましょう。
https://bitcointalksearch.org/topic/bitcointalk-4970147

恐らく、日本人ユーザーでこれを行っている方は少ないかと思われるため、再周知しました。
アカウントハッキングはMETA板を見てもかなり多いですし、
いざ復旧しようと思っても確実に順番待ち(1年待った人もいるとかいないとか?笑)になる可能性があるため、推奨します。
hero member
Activity: 536
Merit: 513
hero member
Activity: 536
Merit: 513
最近の復旧成功例


多くのアカウントが長期間復旧を待っている現状において、復旧に成功した非常に幸運なケースも存在します。これらのケーススタディからは重要な教訓を得ることができますが、常にこのようにうまくいくとは限りませんし、状況は常に変化しているため、あなたが同じ状況に陥ったとしても過度の期待は禁物です。


アカウント: LTU_btc Hero

スレッド: Hacked account recovery. Cyrus, please help November 17, 2017

LTU_btc はパスワードとメールアドレス変更の通知メールによりアカウントがハッキングされたことに気づき、メールに記載されたリンクを用いてすぐにアカウントをロックしました。LTU_btc はあらかじめステークしたBitcoinアドレスを用いて署名付きメッセージを作成し、代替アカウント LTU_btc/2 から、 Cyrus にPMで送信しました。このケースでは幸運なことにプロセスが非常にスムースに進み、アカウントは数日後に復旧されました。


アカウント: Shazam!!! Full Member

スレッド: Need help with Unlock---Please December 12, 2017

Shazam!!! は2015年のパスワードハッシュの漏洩以降、アカウントにログインしていませんでした。そのようなアカウントはハッキングリスクに晒されるため、フォーラムにより自動的にロックされる仕組みになっています。Shazam!!! は2017年年末にログインを試みた時点でアカウントがロックされていることに気付きました。彼/彼女は代替アカウント !!!Shazam!!! から署名付きメッセージを Cyrus にPMを送信しましたが、そのアドレスはTomatocageのスレッドにはステーくされていませんでした。幸運なことに、 Vod と minifrij
の助けにより、そのアドレスは2015年に複数のバウンティスレッドに投稿されていたことが判明しました。厳密な話をすれば、アカウントがハッキングされた場合、ハッカーは過去の投稿を編集・削除できるので、他のメンバーに引用されていないアドレスは所有権の証拠としては弱いものです。しかし今回の場合はハッキングなしで単純にロックされたアカウントであり、またアドレスが記載された投稿も未編集のものであったため、証拠として十分役割を果たすものでした。hilariousandco も手助けをし、 theymos と Cyrus にPMを送信しました。アカウントはその日のうちに無事アンロックされました。Shazam!!! はアカウントがアンロックされると直ちにBitcoinアドレスをステークしました


アカウント: premium_domainer Legendary

スレッド: Account Regained with the help of Loyce. Thank you all January 10, 2018

このケースは少し変わっています。代替アカウントである BitcoinBazaar.net はオリジナルのアカウント premium_domainer を復旧するために作成されました。当初このアカウントはハッキングされたと主張されていましたが、後になって、そのプロセスはスレッドからは不明であるものの、売却されたアカウントであると主張されました。オリジナルのアカウント所有者はBitcoinアドレスをステーくしていなかったため、LoyceV は所有権を確認に多大な労力を必要としました。LoyceV はスレッドを立て、どのようにして BitcoinBazaar.net の手助けができるか、どのようにしてblockchain.infoの受信専用アドレスの不完全なプライベートキーのバグを解決したらよいか、メンバーに質問しました。この過程がDTメンバーの注目を集め、ハッキングされたアカウントは赤いTrustが付けられました。それでもアカウントは取り戻されず、 BitcoinBazaar.net はスレ上げを続けるのみでした。スレ立てから6ヶ月後、アカウント購入者はついに200ドルを支払えばアカウントを返却すると要求しました。彼/彼女はパスワードをスレッドに投稿し、もし200ドルが支払われずパスワードとメールアドレスが変更された場合は、アカウントをロックすると主張しました。お分かりのように、この方法は抜け穴があり、実際にはアドミニストレーターがアカウントをアンロックできるのです。おそらくそのことに気付いたためか、この投稿は削除されました。しかし、LoyceV は削除される前にその投稿に気付き、アカウントの所有権を取り戻しました。その後、LoyceV は 所有権を BitcoinBazaar.net に返しました。


アカウント: Swenna Full Member

スレッド: Hacked and Changed Email addresses Account using Yopmail accounts July 15, 2018

すでに上で述べましたように、このスレッドはハッカーがyopmailを使っていた場合にどのようにしてあなたのアカウントを取り戻すかを説明したスレッドです。最近複数のアカウントが同一のIPアドレスでyopmailを用いたハッカーによりハッキングされています。yopmailは使い捨てメールアドレスであり、ログインせずに使うことができます。つまり、あなたもハッカーのyopmailアドレスにアクセスして、あなたのBitcointalkアカウントの登録メールアドレスを変更することが可能です。以下の方法をご参照ください。

1. 私はログイン画面の"Forgot password"のオプションを使って、パスワードリセットのリンクが記載されたメールをyopmailアカウントに送信しました。
2. yopmailを開いてパスワード変更後、メールアドレスも変更し、さらに秘密の質問も設定しました。
3. その後、ハッカーが再度パスワードを変更できないようにするために、yopmailアカウント内にあったフォーラムからのメールを全て削除しました。


hero member
Activity: 536
Merit: 513
このスレッドは私がMetaに投稿したスレッド [Guide] Bitcointalk account security の和訳です。幸いなことに日本語板ではまだBitcointalkアカウントのハッキング被害は出ていないと思われますが、Bitcointalk特有のシステムの難しさや問題点もありますので、アカウントのセキュリティには十分に気をつける必要があります。Bitcointalkアカウントに限らず取引所アカウントのセキュリティなどに応用可能な情報も載せてあります。



注意:アカウント復旧のプロセスがアップデートされました。
[1] Recovering hacked/lost accounts
[2] Account recoveries are moving again
もしアカウントがハッキングされた場合はtheymosの投稿[1]に記載されているメールアドレスにメールを送ってください。
メールアドレスは定期的に更新されるため、上のスレッドを開いて最新のアドレスを確認してください。



Metaではハッキングあるいはロックされたアカウントに関するスレッドが毎日立てられております。初心者だけではなく、Legendaryアカウントも多く含まれています。通常のブルートフォース型のハッキングリスクに加えて、Bicointalkの現在のシステム特有のリスクや、2015年5月22日のデータ漏洩に起因するリスクも存在します。パスワード変更の際のメールによる本人確認、2段階認証システムの導入、アカウント復旧プロセスの自動化、新しいフォーラムソフトウェアによるより強固なセキュリティなど、フォーラムのセキュリティ面での本質的な改善が望まれます。

このような機能が実装されるまで、我々ができることは、現在のBitcointalkのシステムがどのようなものなのか理解し、どのようにして個々人のアカウントのセキュリティを高めることができるのか、また、万が一アカウントがハッキングやロックをされた場合に何をすべきなのかを学ぶことです。このスレッドではこれらの話題に関して包括的なガイドを提供することを目的として立てられました。このスレッドによりハッキングやロックを受けるアカウントが減ることを願っています。


目次




基礎的事項

1. https://bitcointalk.org/ をブックマークし、常にブックマークからログインしましょう。bitcointalk.to, thebitcointalk.net などのフィッシングサイトは避けましょう。

2. 他のサイトでは使用しない新しいメールアドレスを登録しましょう。

3. 他のサイトでは使用しない新しいパスワードを登録しましょう。十分な長さで、小文字・大文字・数字・記号を混ぜたパスワードを設定しましょう。

4. パスワードを忘れた時のために秘密の質問とその答えを設定することが可能ですが、Bitcointalkの場合この機能はアカウントのハッキングとロックのリスクを高めることに留意してください。詳しくは下記のTipsとパスワード・メールアドレスの変更 / パスワードを忘れた場合の項をご覧ください。

5. 信頼できないソフトウェアはダウンロードせず、常にデバイスをマルウェアの脅威から守りましょう。

6. 全てのデバイスとソフトウェアは最新版にアップデートして使いましょう。

7. Bitcoinアドレスをステークしましょう。詳しくはBitcoinアドレスのステークの項をご覧ください。


Tips

Tips for 1: フィッシングサイト

- いくつかのフィッシングサイトへのリンクは自動的に[phishing]に置き換えられますが、bitcointalk.to と thebitcointalk.net に対してはこの機能はまだ実装されていません。こちらの投稿をご参照ください。

- 万が一あなたのアカウント情報をフィッシングサイトに入力してしまった場合はハッキングされる可能性がありますので、直ちに bitcointalk.org にログインしてパスワードを変更しましょう。

- リンクをクリックする前に、実際のリンク先URLを確認しましょう。ブラウザによっては、マウスオーバーによりURLが表示されます。

- リンクをマウスオーバーした際、bitcointalk.org 内のリンクは(アンカーを除いて)緑色に変化しますが、外部サイトへのリンクは青色のままです。この機能によりフィッシングサイトへの偽装リンクを見破ることが可能です。ホモグラフアタックを利用した偽装リンクの例は以下の通りです。

本物 https://bitcointalk.org/
偽装 https://bitcоintalk.org/  (google.comへのリンク)

2番目のリンクは青色のままなので偽装リンクであることを確認できます。

- ホストファイルを編集することで、そのパソコンから特定のフィッシングサイトへアクセス不可能にする方法もあります。より詳しくはLoyceVによるこの投稿をご覧ください。


Tips for 2: メールアドレス

- Gmailのエイリアス機能を使えば複数のアドレスを生成することができますが、例えば[email protected]のエイリアスは[email protected]の形でaddの部分を選ぶことになるため、オリジナルのアドレスが何であるか分かります。

- 使い捨てメールアドレスであるyopmailは誰でもアクセスできますので避けましょう。


Tips for 3: パスワード

- 英単語、誕生日、ペットの名前、電話番号、その他ハッカーが簡単に推測できるもの、The Worst 25 Passwords of 2017のリストに含まれるものをパスワードに使うことは避けましょう。

- 2015年にパスワードデータが漏洩したため、それ以前からフォーラムを利用しパスワードを変更していない場合は、パスワードの変更が推奨されます。

- ブラウザのオートフィル機能を使っている場合は、その機能がURLごとにパスワードを区別しているのか、あるいは区別なしにパスワードを記憶しているのか、調べておきましょう。もし後者であればその機能は使わないほうがよいでしょう。前者の場合であっても、ブラウザのアップデートに伴い機能が変更される可能性もあるため、常に注意しましょう。

- ログイン時に "Always stay logged in" を選択するとことで、毎回パスワードを入力する必要がなくなります。

- パスワードマネージャーは例えばThe Five Best Password Managersをご覧ください。

- さらなるTipsについてはmapuche33によるこの投稿をご覧ください。


Tips for 4: 秘密の質問

- 秘密の質問についてはいくつか重要な点があります。

1) メールによる本人確認のステップはありません。そのため、秘密の質問はハッキングやロックのリスクを高める可能性があります。

2) 秘密の質問を用いてパスワードがリセットされた場合、そのアカウントはロックされ、アカウントのアンロックのプロセスを経なければ復旧できません。もしあなたのアカウントが通常通りあなたの管理下にあるならこのロックの機能は弊害でしかありません。もしあなたのアカウントがハッキングされていた場合にはロックの機能を防衛手段の一つとして使うことが可能ですが、この機能が有効となるのも稀なケースでしょう。なぜならハッカーはアカウントをハックした直後に秘密の質問を編集してしまう可能性が高いですし、また、この機能を使わずとも、ハッカーによるパスワード変更から14日以内であればフォーラムからの通知メールに記載されたリンクからあなたのアカウントをロックすることができるからです。

3) 秘密の質問はいつでも削除することが可能です。SFR10によるこの投稿をご参照ください。


Tips for 5: 信頼できないソフトウェア

- 信頼できないソフトウェアやアルトコインのウォレットはバーチャルマシン上で利用することも可能です。



パスワード・メールアドレスの変更 / パスワードを忘れた場合

- パスワードは以下の方法で変更できます。

1) プロフィールページ

2) ログイン画面の "Forgot password" リンク

3) 秘密の質問を用いたパスワードリセット。ただし、この場合アカウントはロックされます。

- パスワード変更/リセットが行われた場合、変更履歴がTrustのページに表示されます。1) か 2) の場合は3日間、3) の場合は30日間表示されます。セキュリティログのページにはいずれの場合も30日間表示されます。

- メールアドレスはプロフィールページから変更可能です。メールアドレスの変更履歴もTrustページに表示されます。

- パスワードかメールアドレスが変更された場合、フォーラムから通知メールが(変更前の)メールアドレスに送信されます。


Tips

Tips for 2): "Forgot password" オプションの使い方

ログイン画面で "Forgot your password?" をクリックします。
ユーザー名かメールアドレスを記入し、 "send" をクリックします。
以下のメールが登録メールアドレスに送信され、リンクからパスワードをリセットできます。

1. 私はログイン画面の"Forgot password"のオプションを使って、パスワードリセットのリンクが記載されたメールをyopmailアカウントに送信しました。
2. yopmailを開いてパスワード変更後、メールアドレスも変更し、さらに秘密の質問も設定しました。
3. その後、ハッカーが再度パスワードを変更できないようにするために、yopmailアカウント内にあったフォーラムからのメールを全て削除しました。




ハッキングやロックされたアカウントの復旧


もしあなたのアカウントがハッキングされパスワードとメールアドレスを変更された場合、またはあなたがパスワードを忘れ登録したメールアドレスにアクセスできずパスワードリセットを使用できない場合、または2015年のデータ漏洩以降ログインせずアカウントがロックされてしまった場合、最後の手段としてアカウントの復旧を申請することができます。しかしこの手段に過度に期待することは禁物です。なぜならアカウント復旧の優先順位は低く、復旧まで長い期間がかかることや、あるいは復旧不可能な場合も多いからです。theymosの公式アナウンスはRecovering hacked accounts or accounts with lost passwordsのスレッドにあります。

1. アカウント所有権を証明するために、あらかじめステークしたBitcoinアドレスを用いて署名付きメッセージを作成します。メッセージの例は以下の通りです。

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
My account has been hacked/lost. Please reset the email to . The current date is .
-----BEGIN SIGNATURE-----


-----END BITCOIN SIGNED MESSAGE-----


2. 署名付きメッセージをアドミニストレーターに送信する前に、Brainwallet, Blockexplorer などを使って自分で確認しましょう。  

3. アカウント復旧後に使いたいアドレスとは異なるメールアドレスを用いてBitcointalk代替アカウントを作成します。

4. 上記の署名付きメッセージとBitcoinアドレスをステークした投稿へのリンクを、theymos, Cyrus にPMで送ります。


アカウント復旧までには数カ月か年単位の時間がかかる可能性があります。その間に、必須ではありませんが、以下のプロセスを行うことが考えられます。

5. 代替アカウントを使ってMetaセクションにスレッドを立てます。

6. 他のメンバーに、送信したPMが必要な情報を全て含んでいるか確認してもらったり、一般的なアドバイスを求めることができます。

7. DTメンバーに、ハッキングされたアカウントに赤いTrustをつけてもらうように署名付きメッセージを用いて依頼することができます。


Tips

Tips for 1: Bitcoinアドレス

もしあなたがあらかじめBitcoinアドレスをステークしていなかった場合でも、他の手段であなたのアカウントの所有権を証明できる可能性があります。ベストの選択肢ではありませんが、他の選択肢としては、バウンティキャンペーンの参加者リスト中に記録されたあなたのアドレス(基本的にハッカーが編集不可能です)、Marketplaceやバウンティスレッドなどの過去の投稿に記載されたアドレス(ハッカーはあなたの過去の投稿を編集・削除できるので、投稿が未編集であるか、最終編集日がハッキング以前であるか、スレッドがロックされている場合に限りオリジナルの投稿であることが証明されます)、プロフィールに記載されたアドレス(ハッカーが編集可能なので、特別な事情がない限り証拠として受理されるのは難しいでしょう)などです。これらの選択肢も証拠として受理される可能性がありますが、やはり最善の方法はBitcoinアドレスをステークして他のメンバーに確認と引用をしてもらうことです。


Tips for 3: PM

最初に送るPMが最も重要です。全ての必要事項を明記しましょう。記入漏れがあった場合、復旧できなくなる可能性があります。


Tips for 5: スレ上げ

スレ上げは24時間ごとに1回までです。スレ上げのための投稿は最新のものだけを残し、古いものは削除してください。

Tips for 7: 赤いTrust

ハッキングされたアカウントにDTメンバーによるコメント付きの赤いTrustをつけてもらえば、そのアカウントがハッキングされたものであることが広く周知されます。これによりハッカーはあなたのアカウントを利用して、バウンティキャンペーンに参加したり、マーケットプレイスで詐欺を働いたり、アカウント売却を行うといったことが難しくなります。他のメンバーがハッキングされたあなたのアカウントにより詐欺に遭う可能性を減らすことができます。アカウントがあなたの管理下に戻った時には、DTメンバーに署名付きメッセージで赤いTrustを外してもらうよう申請する必要があります。





(文字数制限のため #2 へ続く)
Jump to: