NFTコレクション運営者向け【セキュリティ対策】を徹底解説!
こんにちは。おもち(@omochibigaku)です。
このページではNFTコレクション運営者向けセキュリティ対策についてわかりやすく解説していきます。
DiscordサーバーやX(Twitter)アカウントの乗っ取りを防ごう!
NFTコレクション運営者向けセキュリティ対策
- 専用のウォレットをつくる
- 二段階認証を設定する
- SMS認証をオフにする
- Discordの権限は厳重に管理する
- AutoModでスパム対策をする
- フィッシング詐欺に注意する
- 外出先ではVPNをつかう
それぞれ解説していきます!
NFTコレクション専用のウォレットをつくろう
NFTコレクションを新たに立ち上げるときは、いつも使っているウォレットではなく、新しく専用ウォレットをつくりましょう。
コレクションを管理するウォレットがハッキングされると、
- 運営保有分のNFT
- クリエイター収益
などが盗まれ、コレクション運営がむずかしくなる場合があります。
かならず専用ウォレットをつくってからコレクションを立ち上げよう!
専用ウォレットの作り方はこちらをどうぞ。
また、専用のデバイスがあると安心です。
せっかく専用ウォレットをつくっても、つかっているパソコン自体がウイルス感染して、メタマスクの秘密鍵が抜かれてしまっては意味がありません。
仕事と偽って悪質なファイルを送りつけられることがあるよ!
普段づかい用のパソコンと、コレクション専用のパソコン(必要最小限の使用にとどめる)でつかいわけることをおすすめします!
二段階認証を設定して、SMS認証をオフにしよう
DiscordサーバーやX(Twitter)アカウントが乗っ取られて、大きな被害がでるケースが目立ってきました。
先日もX(Twitter)アカウントが乗っ取られて、30分で1億円以上の被害がでてしまったよ!
コレクション運営者(サーバー管理者)は必ず『二段階認証』設定をしておきましょう。
Discordで二段階認証を設定しよう
Discordをひらき、画面下にある歯車マークをクリック。
マイアカウントがひらくので、そのまま下にスクロール。
パスワードと認証のところにある『二要素認証を有効化』ボタンクリック。
パスワードを入力して『はい』ボタンクリック。
認証アプリをつかってQRコードを読み込みます。
生成された認証コードを入力して『有効にする』ボタンクリック。
これで二要素認証が設定できました!
そのまま『バックアップコードをダウンロード』ボタンクリック。
そうするとファイルがダウンロードされるので、そちらをひらいて表示されたバックアップコードをメモしておきましょう。
こちらのコードは、携帯をなくして認証アプリへのアクセスができなくなったときにつかうので、大切に保管してください!
『二要素認証を解除する』と表示されていればOKです!
『SMS認証を有効化』はこのままでOK!
ここが有効化されていると、携帯自体がハッキングされたとき、かんたんに二段階認証をとかれてしまうので要注意です!(参考記事はこちら)
サーバー管理者はとくに気をつけよう!
もしすでに有効化している場合は、無効化しておきましょう。
『SMS認証を無効化』ボタンクリック。
パスワードを入力して『確認』ボタンクリック。
『SMS認証を有効化』というボタンが表示されていればOKです!
X(Twitter)で二段階認証を設定しよう
X(Twitter)をひらいて、画面左側に表示される『もっと見る』をクリック。
『設定とサポート』をクリック。
『設定とプライバシー』をクリック。
つづけて『セキュリティとアカウントアクセス』をクリック。
『セキュリティ』をクリック。
『2要素認証』をクリック。
2要素認証の設定画面がひらきました。
『テキストメッセージ』はチェックを外したままでOK!
さきほどと同様に、ここにチェックが入っていると、携帯自体がハッキングされたとき、かんたんに二段階認証をとかれてしまうので要注意です!
コレクション運営者は気をつけてね!
つづいて認証アプリにチェックをいれます。
パスワードを入力。
『確認』ボタンクリック。
『はじめる』ボタンクリック。
メールアドレスを入力。
その下にある2つの項目は、お好きな設定でOK!
『コードを送信』ボタンクリック。
『設定を続ける』ボタンクリック。
送られてきたメールに記載されている認証コードを入力。
『確認』ボタンクリック。
これでメールアドレスが追加できました。
つづけて『はじめる』ボタンクリック。
認証アプリでQRコードを読み取り『次へ』ボタンクリック。
生成された認証コードを入力。
『確認』ボタンクリック。
これで2要素認証が設定できました!
『完了』ボタンクリック。
認証アプリにチェックが入っていればOKです!
念のため、バックアップコードをひらき、表示された文字列をメモしおきましょう。
こちらのコードは、携帯をなくして認証アプリへのアクセスができなくなったときにつかうので、大切に保管してください!
Discordの権限は厳重に管理しよう
自分以外の運営メンバーが乗っ取りにあうことも考慮して、
- everyone/here通知
- 多くの人が関わるロールへのmention
- メンバーをBAN
などの権限は厳重に管理しましょう。
全体通知をつかって詐欺サイトへ誘導されちゃうケースが多いよ!
サーバー名の右側にある下向き矢印をクリック。
『サーバー設定』をクリック。
つづけて『ロール』をクリック。
権限を管理したいロールを選択。
ロール編集画面がひらいたら『権限』をクリック。
こちらが表示されたら下にスクロール。
『@everyone、@here、全てのロールにメンション』をみつけたら、チェックをはずしておきましょう。
『×』マークが表示されたらOKです!
NinjaDAOでは『@everyone』がつかえるのはイケハヤさんだけになっているよ!
権限を限定することで、Adminが乗っ取られたとしても全体に通知はいかないので、被害を減らすことができます!
つづいて『メンバーをキック』『メンバーをBAN』をみつけてください。
こちらの権限は、限られたロールのみに与えることをおすすめします!
権限をもった人が乗っ取られてしまうと、他の運営メンバーが全員BANされ、ハッカーの攻撃を止めることができなくなるので要注意です!
AutoModでスパム対策をしよう
Discordで通知や怪しいURLを大量に貼りつけるスパムが発生することがあります。
そういう場合は、Discordの『AutoMod』がおすすめです!
『AutoMod』が表示されない場合は『コミュニティを有効にする』を設定すると表示されるようになります。
『コミュニティを有効にする』を選択して、
『始めましょう』ボタンクリック。
チェックを入れて『次へ』ボタンクリック。
それぞれあてはまるチャンネルを選択して『次へ』ボタンクリック。
あてはまるものにチェックをいれて『設定を終了』ボタンクリック。
『AutoMod』が表示されるので、そちらをクリック。
『AutoMod』の設定画面がひらいたら、カスタムキーワードルールにある『新規作成』ボタンをクリック。
ここでルールを設定していきましょう。
『語句を選択』には、スパムがはりつけたURLを『*〇〇.com*』という形で入力。
たくさんあるときは『カンマ』で区切ってください。
このURLがふくまれるメッセージが投稿されなくなるよ!
『対応を選択』では、すべてにチェックを入れておきましょう。
『アラート送信』にチェックを入れると、
このような画面になるので、あてはまるチャンネルを選択して『保存』ボタンクリック。
『ユーザーをタイムアウト』にチェックを入れると、
タイムアウトする期間を選ぶことができます。
あてはまるものを選択して『保存』ボタンクリック。
これですべてにチェックが入りました。
画面下部にある『変更を保存する』ボタンクリック。
これで特定のスパムからの攻撃がへらせます!
フィッシング詐欺に注意しよう
こちらのツイートより一部抜粋
サーバー管理者や権限をもった人が、偽のDiscordに誘導され、IDやパスワード、二段階認証コードなどの情報を盗まれて乗っ取られるケースも発生しています。
Discordにログインするときは、ニセモノの可能性があることを考慮して、必ずURLを確認するようにしましょう。
それらしいURLに変更されていることが多いよ!
外出先ではフリーWi-FiではなくVPNをつかおう
公共Wi-Fiの通信を盗みとる『セッションハイジャック』も発生しています。
ハッキングのせいで『せっかくの旅行が台無しに!』とツイートしている人がいたよ!
カフェやホテルなどのフリーWi-Fiは使わないようにしましょう。
外出先でどうしても作業しなければいけないときは、VPN(Virtual Private Network)をつかうことをおすすめします!
ハッキング対策セミナー
オンラインで学べるNFTハッキング対策セミナーです。『なぜNFTは盗まれるの?』『具体的にどんな対策をしたらいい?』におもちが答えます!