Coinbaseでは、お客様の口座と暗号資産投資ができる限り安全に保たれるよう、充実したセキュリティ対策を行っていますが、セキュリティについては最終的にはお客様と責任を共有させていただくこととなります。投資の保護、並びに口座を不正アクセスから保護するために、お客様が実行可能な手順をいくつか次に示します。
強力なパスワードを使用する
パスワードは長く、ランダム性のあるもので、且つCoinbase口座に固有のものをご使用ください。すでにご利用中のオンライン口座のものと同じパスワードは使用しないでください。一連の手続きをスムーズに進めるために、パスワードリセットから今すぐパスワードを強化することも可能です。
また、オンライン口座ごとの固有のパスワードを簡単に生成して安全に保存できるLastPass、1Password、Dashlaneなどのパスワードマネージャーを使用することをお勧めします。
パスワードマネージャーを使用されたくない場合は、パスフレーズ(1つの文、または4つ以上の単語のグループ)をご利用口座に適用してください。ただし、書籍や映画からフレーズを引用するのはお控えください。ハッカーは専用のデータベースにアクセスしてそのような引用文を割り出せます。
パスワード関連の詳細情報、または現在使用しているパスワードの安全度について確認されたい場合は、パスワードのよくあるご質問(FAQ)をご覧ください。
重要な注意:パスワードは他人に開示しないでください。Coinbaseの従業員がお客様のパスワードを尋ねることは決してありません。
強力な形式の二段階認証を利用する
Coinbase、Gmail、Facebook、DropBox、Instagram、Twitter、YouTubeを含むすべてのオンライン口座/アカウントを保護するために、セキュリティキーを使用することを強くお勧めします。当社がセキュリティキーを口座/アカウントセキュリティのゴールドスタンダードと見なす理由については、こちらをご参照ください。セキュリティキーを現在お持ちでない場合、Yubicoが人気の選択肢として挙げられます。
セキュリティキーに予算を投じる予定がまだない、またはセキュリティキーを使用されたくないという場合は、次善の策として、DuoやGoogle Authenticatorなどのスマートフォン二段階認証アプリを介したワンタイムパスワードを使用されることをお勧めします。ワンタイムパスワードを使用することで、口座/アカウントが不正アクセスを受ける可能性を大幅に減らすことができます。
セキュリティキーとワンタイムパスワードの両方をご利用口座のセキュリティ設定で有効にできます。これらの機能を有効にするためにサポートを必要とされる場合は、必要な手順を説明したこちらのサポートヘルプページをご覧ください。ご利用口座のセキュリティを一層高められたい場合は、暗号資産のすべての出庫に対して二段階認証を有効にすることもご検討ください。本機能は、口座のセキュリティ設定からでも有効にできます。
ご自身のスマートフォンを所有せず、SMSで二段階認証コードを受信することが制限されているような場合は、SIMスワップ攻撃や電話ポートスキャン攻撃の被害を抑制するために、「モバイル口座/アカウントを閉鎖する」セクションにある手順を行ってください。
Coinbaseモバイルアプリを使用してCoinbase口座にアクセスする場合は、アプリのセキュリティ設定でセキュリティパスコードを有効にすることを強くお勧めします。アプリへのアクセス、アプリでの資産出庫のいずれでもパスコードを有効にできます。
メールを保護する
お客様のメールアドレスは、お客様とCoinbase口座をつなげる重要な要素の1つです。当社ではお客様のメールアドレスを使用して、新しいデバイスの確認、口座に関する重要なアラートの送信、サポート要請時の連絡等を行います。そのため、メールアドレスのセキュリティのご確認をお願いいたします。
まず初めに、https://haveibeenpwned.com/にアクセスして、ご自身のメールアドレスが第三者によるデータ漏洩といった不正アクセスを受けたことがあるかどうかを確認します。該当する場合は、そのメールアドレスに関連付けられているパスワードを変更することをお勧めします。加えて、個人のメールアカウントでも二段階認証を有効にしてください。
追加のセキュリティ対策として、メールアカウントと設定のセキュリティを次のように定期的に確認してください。
不自然なルール、フィルター、転送先アドレスがないか、メールアカウントをチェックする
見覚えのない承認済みデバイスがないか、メールアカウント設定をチェックする
未承認のリカバリメールや携帯電話番号が口座/アカウントに追加されていないかをチェックする
不正アクセスの対象として口座/アカウントを乗っ取られるおそれがある場合は、Googleの高度な保護機能プログラムをご確認ください。
モバイル口座/アカウントを閉鎖する
SIMスワップ攻撃や電話ポートスキャン攻撃は、攻撃者がターゲットの携帯番号を攻撃者のコントロール下にあるスマートフォンに転送することで行われます。攻撃者や詐欺師は、お客様へのなりすましや携帯電話キャリアのカスタマーサポート担当者へのなりすましなど、さまざまな手段を用いてこれを実行できます。このような攻撃は、SMSベースの二段階認証認を使用するすべての口座/アカウント、および電話ベースの認証を使用してリカバリできるすべての口座/アカウントにとっては脅威となり得ます。
攻撃から身を守るためにも、以下の対策を講じてください。
携帯電話キャリアに電話して、口座/アカウントにポートの閉鎖とSIMロックを設定するように依頼する
お使いの携帯番号を新しいスマートフォンに転送または転出する場合は、有効な顔写真付き本人確認書類を持って来店することを必須とする文書を作成するよう、携帯電話キャリアに依頼する
口座/アカウントの変更時に使用するPIN番号を追加または有効にするように携帯電話キャリアに依頼する
不正な変更を防ぐためにモバイル口座/アカウントで有効にできるその他のセキュリティ対策について問い合わせる
SMSベースの二段階認証を使用されない場合でも、画面ロックを有効にしてスマートフォンを保護するようにしてください。これにより、スマートフォンが盗まれた場合でも、お客様のCoinbase口座やメールアカウントにアクセスされることを防げます。
スマートフォンを常にクリーンアップし、最新の状態にする
スマートフォンが感染する可能性のあるマルウェアにはさまざまなタイプがありますが、特に厄介とされるものがいくつか存在します。キーロガーやリモートアクセス型トロイの木馬(RAT)、Cookie盗難マルウェアはどれもログイン認証情報をお客様から盗み出し、口座/アカウントに不正アクセスするために使用されるおそれがあります。
これらの脅威からお客様のスマートフォンを保護するには、以下の対策をご検討ください。
アンチウイルスソフトウェアを使用して、スマートフォンを定期的にスキャンする。加えて、新しい脅威に備えるためにも、ウイルスシグネチャをできる限り頻繁に更新する
最新のオペレーティングシステムとセキュリティアップデートを用いて、スマートフォンを最新の状態に保つ
利用しているウェブブラウザとその他すべてのソフトウェアのバージョンを常に最新に保つ
疑わしいまたは不要なソフトウェア、特にリモートアクセスを許可するものはスマートフォンからすべてアンインストールする
有害な広告による被害を防ぐために、ブラウザにuBlock Originなどの広告ブロッカーをインストールする
安全にウェブを閲覧する習慣を身に付け、不審なリンクをクリックしたり疑わしいプログラムをダウンロードしたりしない
不明なサードパーティによって開発されたブラウザのプラグインまたはアドオンをインストールしたり使用したりしない
画面ロックとパスワードを有効にしてスマートフォンにアクセスする
クラウドストレージアカウントを保護する
多くのスマートフォンユーザーは、自身のスマートフォンに保存されたデータをバックアップするために、GoogleドライブやiCloudなどのクラウドストレージアカウントを利用することがよくあります。このようなデータには通常、メッセージ、連絡先、メールアドレス、アプリ、写真などが含まれます。攻撃者がお客様のクラウドストレージアカウントにアクセスし、スマートフォンのバックアップを自分の管理下にあるデバイスに復元した場合、膨大な量の情報を自由に利用できるようになり、お客様が保有するさまざまなオンラインアカウントに不正にアクセスすることを許してしまいます。これらの情報にアクセスできるようになった攻撃者の影響力を過小評価するのは大変危険です。
幸い、すでに説明した以下の基本的なガイドラインを実行していただくことで、クラウドストレージアカウントを簡単かつ安全に保護できます。
強力なパスワードを作成する。可能であればパスワードマネージャーを利用する
利用可能な二段階認証の中でも強力な形式の認証を用いてアカウントを保護する
メールアカウントを保護する
スマートフォンのデータが攻撃者によってバックアップされるリスクを完全に回避するには、クラウドのアカウント設定でバックアップを完全に無効にしてください。
Coinbaseをブックマークする
お使いのブラウザでhttps://www.coinbase.com/をブックマークし、Coinbaseにログインする際にはこのリンクのみを使用するようにしてください。ご利用中のCoinbase口座に関するSMSやメールを受信した場合は、必ずこのブックマークを使用してCoinbase口座にアクセスしてください。
フィッシングに注意する
フィッシングという言葉になじみがない場合は、フィッシングについてまとめた当社のこちらの記事をお読みください。2~3分ほどで読み終えることができます。
Coinbaseから送信されたように見えるメッセージを受信した際に疑念を抱かれた場合は、信憑性の確認のため、いつでも[email protected]にそのメッセージをご転送ください。メールが正規のものかどうかをご自身で判断される場合は、こちらのサポートヘルプページを参照いただくことも可能です。
最近のアクティビティを確認する
Coinbase口座からアクティビティページにアクセスします。このページでは、承認済みのモバイルアプリケーション、ウェブセッション、確認済みのデバイスなど、アクティブとなっているすべてのセッションを確認できます。
アプリケーション、セッション、デバイスが不正アクセスされているとお気づきになられた場合は、いつでも右側の青いXをクリックしてアクセスを取り消すことができます。認証した覚えのないご利用口座への不正ログインを取り消す場合、まずCoinbaseとメールのパスワードを変更してください。また、セキュリティチームがお客様の口座を確認してセキュリティ保護できるように、お客様自身でお客様サポートチケットを作成して問題を説明していただくことも可能です。
アドレス帳機能および許可リスト/ホワイトリスト機能を利用する
Coinbaseでは許可リスト、Coinbase Proではホワイトリストと呼ばれるこのアドレス帳機能を利用すると、任意の数の暗号資産アドレスを追加して保存できるため、信頼できる既知の暗号資産アドレスに暗号資産を簡単かつ安全に出庫できます。お客様が行える内容は次の通りです。
取扱い暗号資産に対応する暗号資産アドレスを追加する
アドレスにニックネームを付ける
暗号資産を出庫する際、アドレスをニックネームまたは最初の数文字で手軽に検索し、アドレス帳で検索処理をオートコンプリートする
暗号資産を不明なアドレスに出庫した後、アドレス帳に新しいアドレスを保存する
許可リスト/ホワイトリストは、アドレス帳ですでに指定されているアドレス(外部またはCoinbase)にのみ暗号資産を出庫できるようにする、アドレス帳のセキュリティ機能です。この機能を有効/無効にする際には二段階認証が要求されるため、お客様は認証済みのアドレスに安全に出庫できるようになります。お客様が行える内容は次の通りです。
アドレス帳でこの機能を有効または無効にする
アドレス帳に新しいアドレスを追加する(追加されるまでに48時間の保留期間が必要)
アドレス帳に保存されているアドレスにのみ暗号資産を出庫する
注意:この機能を有効にすると、猶予期間として最初の8時間は新しいアドレスをすぐに追加でき、機能を無効にすることもできます(48時間のセキュリティ保留は適用されません)。
Coinbase Vaultを利用する
お客様自身は頻繁に取引を行う暗号資産トレーダーではなく、Coinbase口座への投資を長期的に計画されているといった場合には、Vaultを利用されることを強くお勧めします。Vaultは出庫時に複数のメールアドレスによる承認を必要とするほか、出庫自体に48時間の猶予があり、その間にお気持ちが変わられた場合、または出庫が不正な当事者によって行われた場合には、いつでも出庫をキャンセルできます。Vaultの設定はシンプルで簡単です。設定方法については、こちらをご覧ください。
デューデリジェンスを実施する
Coinbase口座へのアクセスに使用するスマートフォンにソフトウェアまたはアプリケーションをインストールするときは、必ずデューデリジェンスを実施するようお願いいたします。また、サードパーティーのアプリケーションに口座へのアクセスを許可する場合は、事前に調査することを心がけてください。リリース元が不明なソフトウェア、または疑わしいソフトウェアをインストールすることはお控えください。これらのソフトウェアには、商用ソフトウェアの「無料」版やクラック版も該当します。ブラウザプラグインもインストールするのにリスクを伴う可能性があるため、必ずブラウザ内の公式ブラウザプラグインリポジトリにあるブラウザプラグインをインストールしてください。
サードパーティーアプリケーションにCoinbase口座へのアクセスを許可した場合でも、アクティビティページでいつでもアクセスの管理や取消しが可能です。
詐欺師がソーシャルメディアでCoinbaseおよびCoinbaseお客様サポートになりすますこともよくある手口であり、注意点の1つです。ソーシャルメディアでCoinbaseの関係者だと主張する人と交流する前に、その人のアカウントが当社の公式アカウントであるかどうかを「Coinbaseはソーシャルメディアにアカウントを持っていますか?」でご確認ください。当社のアカウントでない場合は、そのなりすましアカウントのURLをただちに[email protected]までご報告ください。
お客様サポートに連絡する
口座のセキュリティに関する懸念や質問をお持ちの場合は、Coinbaseお客様サポートまでお気軽にお問い合わせください。当社へのご連絡はポータルを介してのみ行うようお願い申し上げます。偽のお客様サポート番号やウェブサイトは絶えることのない脅威です。フォーラム、ソーシャルメディア、Google広告で見つけた情報には十分注意してください。
大まかに言って、Coinbaseのスタッフは決して次のようなことを行いませんので、お気に留めておいてください。
パスワード、二段階認証コード、またはメールアドレスを要求する
コンピュータにリモートログインソフトウェアまたはリモートサポートソフトウェアをインストールするよう求める
お客様の口座の問題を解決するために資金を送金するよう求める
口座のサポートや問題のトラブルシューティングを行うために直接お客様に電話する
Coinbaseお客様サポートの者だと主張する人がこれらの情報を求めたり直接電話をかけてきたりしたような場合には、いずれのやり取りも中断し、すぐに当社までお問い合わせください。
この情報がお客様の口座のセキュリティを一段高いレベルに引き上げるのに役立つことを願っています。その他のセキュリティ関連のコンテンツについてもご関心をお持ちのようでしたら、セキュリティチームのメンバーがhttps://blog.coinbase.com/tagged/securityで公開している最新のブログ記事をご覧いただくことをお勧めいたします。
