OKX Web3 & OneKey：デバイスのセキュリティに「バフ」を加える

?著者：OKX Web3

はじめに

OKX Web3ウォレットは特別に「セキュリティ特集」コーナーを企画し、さまざまなタイプのオンチェーンセキュリティ問題に対する特集回答を行います。ユーザーの身近で最もリアルなケースを通じて、安全分野の専門家や機関と共同で、異なる視点からの二重のシェアと回答を行い、セキュリティ取引ルールを浅くから深く整理し要約することを目的としています。これにより、ユーザーのセキュリティ教育を強化し、ユーザー自身がプライベートキーやウォレット資産の安全を守ることを学ぶ手助けをします。

Web3の世界でサーフィンするには、2つの費用を省くことはできません。

1つはオンチェーンでのガス代；もう1つはオフチェーンでの装備購入です。

しかし、オンチェーンでもオフチェーンでも、安全は同様に重要です～

今号はセキュリティ特集第04号で、特別に暗号ハードウェアウォレットメーカーのOneKeyのセキュリティチームとOKX Web3ウォレットのセキュリティチームを招き、実践ガイドの観点から、デバイスの安全性を向上させる「バフ」を加える方法を教えます。

OneKeyセキュリティチーム：OneKeyは2019年に設立され、安全に特化したオープンソースのハードウェアウォレットとソフトウェアウォレットの会社であり、安全攻防実験室を設置しており、Coinbase、Ribbit Capital、Dragonflyなどの一流機関からの支援を受けています。現在、OneKeyハードウェアウォレットは、アジアで最も売れているハードウェアウォレットブランドの1つとなっています。

OKX Web3ウォレットセキュリティチーム：皆さん、こんにちは。本日のシェアができてとても嬉しいです。OKX Web3ウォレットセキュリティチームは、OKXがWeb3分野でのさまざまなセキュリティ能力の構築を担当しています。たとえば、ウォレットのセキュリティ能力の構築、スマートコントラクトのセキュリティ監査、オンチェーンプロジェクトのセキュリティ監視などを行い、ユーザーに製品の安全性、資金の安全性、取引の安全性などの多重防護サービスを提供し、ブロックチェーンの安全エコシステムを維持するために貢献しています。

Q1：ユーザーの実際のデバイスリスクのケースをいくつか共有できますか？

OneKeyセキュリティチーム：Web3ユーザーが関与するデバイスリスクのケースは多様性があります。いくつかの一般的なケースを挙げてみましょう。

ケース1：ユーザーのアリスが自分のデバイスを離れた後、知らないうちに身近な人に物理的に侵入され、資産を盗まれました。これはコンピュータセキュリティの分野で「悪意のあるメイド攻撃（Evil Maid Attack）」と呼ばれ、ユーザーが遭遇する最も一般的なデバイスリスクの一つです。

「毛を刈るスタジオ」の同僚、部屋を掃除するおばさん、さらには親しい枕元の人まで、財を見て攻撃者になる可能性があります。以前、私たちはユーザーがハードウェアウォレット内の資産が盗まれた状況を追跡するのを手伝ったことがあります。ユーザーが報告した後、取引所に申告して攻撃者が使用した取引所アカウントのKYCを取得し、最終的に身近な人によるものであることが判明しました。「千防万防、家の中の泥棒は防ぎにくい」ということです。

ケース2：ユーザーのボブが物理的に脅迫され、やむを得ず資産管理権限のあるデバイスを渡しました。これは暗号界で「5ドルレンチ攻撃（$5 Wrench Attack）」という笑いと涙の名前が付けられています。

近年、Cryptoの富の効果が広がるにつれて、高額資産を持つ人々を狙った誘拐や恐喝のケースが増えているようです。特に犯罪率が高い国では顕著です。2023年初頭には、オフラインでの仮想通貨取引が強盗に遭ったという報道がありました。被害者はオフラインのデジタル通貨投資者の集まりに参加しており、食事後に車内で拘束され、不法者は被害者の顔認識を強制的に使用してスマートフォンとウォレットソフトを解除し、ウォレット内の暗号通貨を410万USDTに換金した後、すぐに資金を移動させて去りました。最近、Twitterでは、ある暗号マイニングOGが国際犯罪グループに強盗され、生涯の蓄えの大部分の暗号資産を脅迫されたと述べています。

OKX Web3ウォレットセキュリティチーム：本日のテーマは非常に良いです。以前、私たちはプライベートキーの安全性、MEME取引の安全性、毛を刈る安全性など、多くのオンチェーンセキュリティのテーマについて話しましたが、実際にはデバイスの安全性も非常に重要です。いくつかの古典的なケースを共有します。

ケース1：改ざんされたハードウェアウォレット

ユーザーAは、未承認のプラットフォームからハードウェアウォレットを購入し、検証せずに使用を開始しました。実際には、そのウォレットのファームウェアが改ざんされ、すでに複数の助記語が事前に生成されていました。最終的に、ユーザーがそのハードウェアウォレットに保管していた暗号資産はハッカーによって完全に制御され、大きな損失を被りました。

予防策：1）ユーザーはできるだけ公式または信頼できるチャネルからハードウェアウォレットを購入すること。2）ウォレットを使用する前に、公式の完全な検証プロセスを実施してファームウェアの安全性を確認すること。

ケース2：フィッシング攻撃

ユーザーBは「ウォレットセキュリティセンター」からのメールを受け取り、ユーザーのウォレットに安全上の問題があると説明され、ウォレットの復元フレーズを入力するよう求められました。実際には、これは巧妙に設計されたフィッシング攻撃であり、ユーザーは最終的にすべての資産を失いました。

予防策：1）ユーザーは決して未検証のウェブサイトにプライベートキーや復元フレーズを入力しないこと。2）ハードウェアウォレットの画面を使用してすべての取引と操作情報を確認すること。

ケース3：ソフトウェアの安全性

ユーザーCは未検証のチャネルからマルウェアをダウンロードし、ウォレット操作中にソフトウェアに悪意のあるロジックが存在し、資産が失われました。

予防策：1）ユーザーは公式チャネルからソフトウェアをダウンロードし、関連ソフトウェアやファームウェアを定期的に更新すること。2）ウイルス対策ソフトウェアとファイアウォールを使用してデバイスを保護すること。

Q2：ユーザーがよく使用する物理デバイスと施設、リスクタイプ

OneKeyセキュリティチーム：ユーザーの資産安全に関与するデバイスには、通常、ユーザーのスマートフォン、コンピュータ、ハードウェアウォレット、USBストレージデバイス、ネットワーク通信デバイス（Wi-Fiなど）が含まれます。

前述の「悪意のあるメイド攻撃（Evil Maid Attack）」や「5ドルレンチ攻撃（$5 Wrench Attack）」の他に、特に注意が必要な点をいくつか追加します。

1. ソーシャルエンジニアリングとフィッシング攻撃

ソーシャルエンジニアリングとフィッシング攻撃は、現在非常に一般的かつ効果的な攻撃手段であり、攻撃者は人間の弱点を利用してユーザーを危険な操作に誘導します。たとえば、悪意のあるフィッシングリンクや添付ファイル、攻撃者は悪意のあるリンクを含む電子メール、SMS、またはソーシャルメディアメッセージを送信し、銀行通知やソーシャルメディアプラットフォームのリマインダーなどの信頼できるソースを装います。ユーザーがこれらのリンクをクリックしたり、添付ファイルをダウンロードしたりすると、悪意のあるソフトウェアがデバイスに植え付けられ、デバイスがリモートで侵入されることになります。

たとえば、技術サポート担当者を装った攻撃者は、電話や電子メールを通じてユーザーに連絡し、デバイスに問題があると主張し、直ちに行動を取るように促します。彼らはユーザーにデバイスのリモートアクセス権を提供させたり、機密情報を漏洩させたりすることがあります。現在、Twitterでは、暗号通貨関連の用語を言及すると、すぐにロボット軍団がやってきて技術サポートを「サービス」することが多くなっています。

2. サプライチェーン攻撃

サプライチェーン攻撃とは、攻撃者がデバイスの製造または輸送プロセスで悪意のあるソフトウェアを植え付けることを指します。具体的には、以下の3点が挙げられます。

第1はハードウェアの改ざんです。攻撃者はハードウェアウォレットやUSBストレージデバイスの製造過程で悪意のあるソフトウェアを植え付ける可能性があります。たとえば、ユーザーが信頼できないソースからハードウェアデバイスを購入した場合、改ざんされたデバイスを受け取る可能性があり、これらのデバイスには情報を盗むことができる悪意のあるソフトウェアが事前にインストールされていることがあります。

第2はソフトウェアの改ざんです。攻撃者はデバイスのソフトウェアサプライチェーンに対して攻撃を行い、ソフトウェアやファームウェアの更新パッケージを改ざんします。ユーザーがこれらの更新をダウンロードしてインストールすると、デバイスにバックドアプログラムや他のタイプの悪意のあるコードが植え付けられる可能性があります。

第3は物流攻撃です。デバイスの輸送中に、攻撃者がデバイスを傍受して改ざんする可能性があります。たとえば、配送中にハードウェアデバイスが置き換えられたり改ざんされたりすることで、攻撃者がその後の攻撃を実行しやすくなります。

3. 中間者攻撃

中間者攻撃（Man-in-the-Middle Attack, MITM）とは、攻撃者が二者間の通信を傍受し、データ転送を改ざんすることを指します。

たとえば、ユーザーが暗号化されていないネットワーク通信を使用している場合、攻撃者は転送中のデータを簡単に傍受し、改ざんすることができます。つまり、暗号化されていないHTTPウェブサイトを使用している場合、攻撃者はユーザーが送信および受信するデータを傍受し、変更することができます。

また、公共のWi-Fiを使用する際、ユーザーのデータ転送は攻撃者に傍受されやすくなります。攻撃者は悪意のある公共Wi-Fiホットスポットを設定し、ユーザーが接続すると、攻撃者はユーザーのログイン資格情報や銀行取引記録などの機密情報を監視し、盗むことができます。自宅のWi-Fiも極端な状況では侵入され、悪意のあるソフトウェアがインストールされる可能性があります。

4. 第三者内部攻撃とソフトウェアの脆弱性

第三者内部攻撃とソフトウェアの脆弱性は、ユーザーにとって制御が難しいリスクですが、物理デバイスの安全性に重大な影響を与える要因です。

最も一般的なのはソフトウェアとハードウェアのセキュリティ脆弱性です。これらの脆弱性は攻撃者によって利用され、リモート攻撃や物理的なバイパス攻撃が行われる可能性があります。たとえば、特定のプラグインやアプリケーションには未発見の脆弱性が存在し、攻撃者はこれらの脆弱性を利用してデバイスの制御権を取得することができます。通常、セキュリティ更新を維持することで解決できます。また、ハードウェアは最新の暗号チップを使用することを考慮する必要があります。

ソフトウェア側の内部者の活動：ソフトウェア開発者やサービス提供者の内部者がアクセス権を乱用し、悪意のある活動を行ったり、ユーザーデータを盗んだり、ソフトウェアに悪意のあるコードを植え付けたりする可能性があります。また、外部要因によって悪意のある活動が引き起こされることもあります。

たとえば、以前「毛を刈るスタジオ」が特定のマルチログイン指紋ブラウザを使用したために資産が盗まれたケースは、ソフトウェアやプラグインの内部的な悪行によるものである可能性があります。これは、合法的なソフトウェアであっても、内部管理が不十分であれば、ユーザーの資産安全に脅威を与える可能性があることを示しています。

また、Ledgerは以前に恐慌を引き起こす攻撃を受けました。多くのdappが使用しているConnect Kitに問題が発生しました。攻撃の原因は、元従業員がフィッシング攻撃の犠牲者となり、攻撃者がConnect KitのGitHubリポジトリに悪意のあるコードを挿入したことです。幸い、Ledgerのセキュリティチームは問題を通知された40分後に修正措置を展開し、Tetherも攻撃者のUSDT資金を迅速に凍結しました。

OKX Web3ウォレットセキュリティチーム：ユーザーがよく使用する物理デバイスをまとめ、潜在的なリスクを展開します。

現在、ユーザーがよく使用する物理デバイスには以下が含まれます：1）コンピュータ（デスクトップとノートパソコン）、分散型アプリ（dApps）へのアクセス、暗号通貨ウォレットの管理、ブロックチェーンネットワークへの参加などに使用されます。2）スマートフォンとタブレット、dAppsへのモバイルアクセス、暗号ウォレットの管理、取引に使用されます。3）ハードウェアウォレット、専用デバイス（Ledger、Trezorなど）、暗号通貨のプライベートキーを安全に保管し、ハッカーの攻撃から防ぐために使用されます。4）ネットワークインフラ、ルーター、スイッチ、ファイアウォールなどのデバイス、ネットワーク接続の安定性と安全性を確保します。5）ノードデバイス、ブロックチェーンノードのソフトウェアデバイス（個人用コンピュータまたは専用サーバー）、ネットワークの合意形成とデータ検証に参加します。6）コールドストレージデバイス、プライベートキーをオフラインで保管するためのデバイス（USBドライブ、ペーパーウォレットなど）、オンライン攻撃から防ぐために使用されます。

現在の物理デバイスにおける潜在的なリスクは主に以下のようになります。

1）物理デバイスリスク

• デバイスの紛失または損傷：ハードウェアウォレットやコンピュータなどのデバイスが紛失または損傷した場合、プライベートキーが失われ、暗号資産にアクセスできなくなる可能性があります。
• 物理的侵入：不法者が物理的手段でデバイスに侵入し、直接プライベートキーや機密情報を取得します。

2）ネットワークセキュリティリスク

• 悪意のあるソフトウェアやウイルス：悪意のあるソフトウェアがユーザーのデバイスを攻撃し、プライベートキーや機密情報を盗みます。
• フィッシング攻撃：合法的なサービスを装ってユーザーにプライベートキーやログイン資格情報を提供させます。
• 中間者攻撃（MITM）：攻撃者がユーザーとブロックチェーンネットワーク間の通信を傍受し、改ざんします。

3）ユーザー行動リスク

• ソーシャルエンジニアリング攻撃：攻撃者がソーシャルエンジニアリング手法を用いてユーザーにプライベートキーや他の機密情報を漏洩させます。
• 操作ミス：ユーザーが取引や資産管理中に操作ミスを犯し、資産を失う可能性があります。

4）技術リスク

• ソフトウェアの脆弱性：dApps、暗号ウォレット、またはブロックチェーンプロトコルの脆弱性がハッカーによって利用される可能性があります。
• スマートコントラクトの脆弱性：スマートコントラクトコード内の脆弱性が原因で資金が盗まれる可能性があります。

5）規制および法的リスク

• 法的遵守：国や地域によって暗号通貨やブロックチェーン技術に対する規制政策が異なり、ユーザーの資産安全や取引の自由に影響を与える可能性があります。
• 規制の変化：政策の突然の変化が資産の凍結や取引の制限を引き起こす可能性があります。

Q3：ハードウェアウォレットはプライベートキーの安全性の必須選択肢ですか？プライベートキーの安全対策にはどのような種類がありますか？

OneKeyセキュリティチーム：もちろん、ハードウェアウォレットはプライベートキーの安全性の唯一の選択肢ではありませんが、確かにプライベートキーの安全性を強化する非常に効果的な方法です。その最大の利点は、プライベートキーを生成、記録、日常的に保管する際にインターネットから隔離でき、取引を実行する際にはユーザーが物理デバイス上で直接取引の詳細を確認し、承認する必要があることです。この特性は、プライベートキーが悪意のあるソフトウェアやハッカーの攻撃によって盗まれるリスクを効果的に遮断します。

まず、ハードウェアウォレットの利点について説明します。

1）物理的隔離：ハードウェアウォレットはプライベートキーを専用デバイスに保存し、ネットワークに接続されたコンピュータやモバイルデバイスから完全に隔離します。つまり、ユーザーのコンピュータやスマートフォンが悪意のあるソフトウェアに感染しても、プライベートキーは安全です。なぜなら、それらはインターネットに接触したことがないからです。

2）取引の確認：ハードウェアウォレットを使用して取引を行う際、ユーザーはデバイス上で直接取引の詳細を確認し、承認する必要があります。このプロセスにより、攻撃者がユーザーのオンラインアカウント情報を取得しても、無断で資産を移転することはできません。

3）安全チップ：多くのハードウェアウォレットは、プライベートキーを保存するために専用の安全チップを使用しています。これらのチップは、CC EAL6+などの厳格なセキュリティ認証を受けており（たとえば、OneKey ProやLedger Staxなどの新しいハードウェアウォレットが採用している基準）、物理的なバイパス攻撃から効果的に防御します。安全チップは、無断アクセスを防ぐだけでなく、電磁分析や電力分析攻撃などの高度な攻撃手法にも耐えることができます。

ハードウェアウォレットの他にも、プライベートキーの安全性を強化するためのさまざまな方法があります。ユーザーは自分のニーズに応じて適切な方法を選択できます。

1）ペーパーウォレット：ペーパーウォレットは、プライベートキーとパブリックキーを紙に印刷するオフラインストレージ方法です。この方法はシンプルで完全にオフラインですが、火災、湿気、紛失などの物理的安全問題に注意する必要があります。条件が整えば、金属刻板を購入して物理的に記録することをお勧めします（市場には多くの選択肢があります。たとえば、OneKeyのKeyTagなど）。

2）スマートフォンコールドウォレット：コールドウォレットは、完全にオフラインでプライベートキーや暗号資産を保存することを指します。ハードウェアウォレットと同様に、コールドウォレットもネットワーク攻撃を効果的に回避できますが、ユーザーはこれらのデバイスを自分で設定し、管理する必要があります。

3）シェアードエンクリプションストレージ：シェアードエンクリプションストレージは、プライベートキーを複数の部分に分割し、それぞれを異なる場所に保存する方法です。攻撃者が一部のプライベートキーを取得しても、完全な復元はできません。この方法は攻撃の難易度を上げることで安全性を高めますが、ユーザーは各プライベートキーの部分を管理し、部分的な分割が失われることを避ける必要があります。

4）マルチシグ（Multisig）：マルチシグ技術は、複数のプライベートキーが共同で取引に署名することを要求します。この方法は署名者の数を増やすことで安全性を高め、単一のプライベートキーが盗まれることによって資産が移転されるのを防ぎます。たとえば、三者署名のマルチシグアカウントを設定し、少なくとも2つのプライベートキーが同意した場合にのみ取引が実行されるようにすることができます。これにより、安全性が向上するだけでなく、より柔軟な管理と制御が実現できます。

5）暗号学的革新技術：現在、技術の進歩に伴い、一部の新興の暗号学技術がプライベートキー保護に応用されています。たとえば、閾値署名（Threshold Signature Scheme, TSS）やマルチパーティ計算（Multi-Party Computation, MPC）などの技術は、分散型計算と協力的な方法を通じて、プライベートキー管理の安全性と信頼性をさらに向上させます。これらは一般的に企業が多く使用し、個人使用は非常に少ないです。

OKX Web3ウォレットセキュリティチーム：ハードウェアウォレットは、プライベートキーを独立したオフラインデバイスに保存することで、ネットワーク攻撃、悪意のあるソフトウェア、または他のオンライン脅威からプライベートキーが盗まれるのを防ぎます。ソフトウェアウォレットや他のストレージ形式と比較して、ハードウェアウォレットはより高い安全保障を提供し、大量の暗号資産を保護する必要があるユーザーに特に適しています。プライベートキーの安全対策は、以下の観点から考えることができます。

1）安全なストレージデバイスの使用：信頼できるハードウェアウォレットや他のコールドストレージデバイスを選択し、プライベートキーがネットワーク攻撃によって盗まれるリスクを低減します。

2）安全意識教育の確立：プライベートキーの安全性を重視し、保護意識を高め、プライベートキーを入力する必要があるウェブページやプログラムに対して警戒を怠らず、必要に応じてプライベートキーの一部をコピーし、数文字を手動で入力してクリップボード攻撃を防ぎます。

3）助記語とプライベートキーの安全な保管：助記語を撮影したり、スクリーンショットを取ったり、オンラインで記録したりすることを避け、できるだけ紙に書いて安全な場所に保管します。

4）プライベートキーの分離保管：プライベートキーを複数の部分に分け、それぞれを異なる場所に保管し、単一障害点のリスクを減らします。

Q4：現在の認証とアクセス制御における脆弱性

OneKeyセキュリティチーム：ブロックチェーンはWeb2のように私たちの身分情報を識別して保存する必要はなく、暗号学を通じて資産の自己管理とアクセスを実現しています。つまり、プライベートキーがすべてです。ユーザーが暗号資産にアクセスする際の最大のリスクは、一般的にプライベートキーの不適切な保管から来ます。結局のところ、ユーザーのプライベートキーは暗号通貨資産にアクセスする唯一の証明書です。プライベートキーが失われたり、盗まれたり、露出したり、自然災害に遭遇したりすると、資産が永久に失われる可能性があります。

これがOneKeyなどのブランドが存在する意義であり、ユーザーに安全なプライベートキーの自己管理ソリューションを提供します。多くのユーザーは、プライベートキーを管理する際に安全意識が欠如しており、安全でない保管方法（たとえば、プライベートキーをオンライン文書やスクリーンショットに保管する）を使用しています。最良の方法は、オフラインで生成し、保管する方法を採用することです。手動でサイコロを振ったり、手書きしたりすることに加えて、前述のハードウェアウォレットと助記語金属板の組み合わせを検討することもできます。

もちろん、多くのユーザーが取引所アカウントを使用して直接資産を保管している場合、この時点での認証とアクセス制御はWeb2に似たものになります。

これはユーザーのパスワードセキュリティ意識に関わります。弱いパスワードや使い回しのパスワードの使用は一般的な問題です。ユーザーは簡単で推測しやすいパスワードを使用したり、複数のプラットフォーム（たとえば、認証用のメール）で同じパスワードを使い回したりする傾向があり、暴力的な解読やデータ漏洩後の攻撃リスクを高めています。

この中で多要素認証（SMSコード、Google Authenticatorなど）は安全性を高めることができますが、適切に実施されなかったり、脆弱性があったり（たとえば、SMSハイジャック）すると、攻撃のターゲットになることもあります。たとえば、SMSハイジャックのSIMスワップ攻撃では、攻撃者が移動通信事業者の従業員を欺いたり、賄賂を渡したりして、被害者の電話番号を攻撃者が制御するSIMカードに移転させ、被害者の携帯電話に送信されるすべてのSMSコードを受信します。以前、Vitalikも「SIM SWAP」攻撃に遭い、攻撃者が彼のTwitterを利用してフィッシング情報を発信し、多くの人の資産が損なわれました。さらに、多要素認証器（Google Authenticatorなど）のバックアップコードが不適切に保存されると、攻撃者がそれを取得し、アカウントを攻撃するために使用する可能性もあります。

OKX Web3ウォレットセキュリティチーム：これは非常に注目すべきセクションです。現在注意が必要なのは以下の点です。

1）弱いパスワードとパスワードの使い回し：ユーザーはしばしば簡単で推測しやすいパスワードを使用したり、複数のサービスで同じパスワードを使い回したりするため、パスワードが暴力的に解読されたり、他の漏洩チャネルを通じて取得されたりするリスクが高まります。

2）多要素認証（MFA）の不足：Web2における多要素認証は安全性を大幅に向上させることができますが、Web3ウォレットではプライベートキーが漏洩すると、攻撃者がアカウントのすべての操作権限を掌握することになり、効果的なMFAメカニズムを構築することが難しくなります。

3）フィッシング攻撃とソーシャルエンジニアリング：攻撃者はフィッシングメールや偽のウェブサイトなどの手段を通じて、ユーザーに機密情報を漏洩させるよう誘導します。現在、Web3を対象としたフィッシングサイトは、グループ化やサービス化の特徴を呈しており、十分な安全意識がないと簡単に騙される可能性があります。

4）APIキー管理の不適切：開発者はAPIキーをクライアントアプリケーションにハードコーディングしたり、適切な権限管理や期限管理を行わなかったりすることがあり、キーが漏洩した場合に悪用される可能性があります。

Q5：ユーザーはAIによるフェイススワップなどの新興の仮想技術によってもたらされるリスクをどのように防ぐべきですか？

OneKeyセキュリティチーム：2015年のBlackHat会議で、世界中のハッカーは顔認識技術が最も信頼性の低い身分認証方法であると一致して認識しました。約10年後、AI技術の進歩により、私たちはほぼ完璧に顔を置き換える「魔法」を手に入れました。普通の視覚的な顔認識では安全な保証を提供できなくなっています。これに対して、認識側はアルゴリズム技術をアップグレードし、深層偽造コンテンツを識別し阻止する必要があります。

AIによるフェイススワップのリスクに対して、ユーザー側は自分のプライバシーや生体特徴データを保護すること以外に、実際にはあまりできることはありません。以下にいくつかの小さな提案があります。

1）顔認識アプリの使用に注意する

ユーザーは顔認識アプリを選択する際、良好な安全記録とプライバシーポリシーを持つアプリケーションを選ぶべきです。未知のソースや安全性が疑わしいアプリの使用を避け、定期的にソフトウェアを更新して最新のセキュリティパッチを適用します。以前、国内の多くの小口融資会社のアプリがユーザーの顔データを不正に使用して転売し、ユーザーの顔データが漏洩しました。

2）多要素認証（MFA）を理解する

単一の生体特徴認証には大きなリスクがあるため、複数の認証方法を組み合わせることで安全性を大幅に向上させること