ブロックチェーン業界は、その改ざん防止性、不可逆性、規制の欠如、そして匿名性のために、ハッカーの標的となっています。近年、ブロックチェーン分野は資産盗難の温床となっており、多くのユーザーやプロジェクトが暗号通貨を盗まれ、深刻な財務損失が発生しています。
長年のネットワークセキュリティの経験と、アカウントや資産の盗難被害に遭ったユーザーからのフィードバックをもとに、BingXアカウントと資産を守るために避けるべき、いくつかの不安全なアカウント利用の実例を特定しました。これらの落とし穴を回避し、安全対策を強化しましょう。
1. パスワード
1. パスワードの脆弱性
脆弱性のあるパスワードは簡単に解読されることが多く、単純な数字の組み合わせや、アカウントと同じ数字の組み合わせ、隣り合ったキーボードキーで構成されることがよくあります。 一般的な例としては、Abcd1234、Qwer1234、Admin123などがあります。
リスク:弱いパスワードは、クレデンシャルスタッフィング攻撃などによって推測されたり、解読されたりする脆弱性があります。
推奨事項:大文字と小文字、数字、特殊文字を組み合わせた強力なパスワードを使用し、10文字以上にすることをお勧めします。
2. 複数のアカウントで同じパスワードを使用すること。
パスワードを覚えやすくするために、ユーザーは異なるサイトで同じパスワードを使い回すことがよくあります。あるサイトのパスワードが漏洩した場合(データベースが侵害されたなど)、同じパスワードを使用している他のアカウントも危険にさらされます。インターネットでは、メール、ソーシャルネットワーキング、ショッピングサイトなど、数千万人や数億人が利用する大規模なウェブサイトでさえ、アカウントの大量漏洩が頻繁に発生していることが知られています。ましてや、小規模なサイトではそのリスクがさらに高いと言えます。
リスク: 1つのアカウントが侵害されると、同じパスワードを使用しているすべてのアカウントが危険にさらされます。
専門家によるアドバイス:BingXアカウントには、他のサイトとは異なるユニークなパスワードを使用してください。
3. パスワードをプレーンテキストで保存する
ユーザーは、パスワードを忘れないようにするために、ノートやExcelスプレッドシートなどのプレーンテキストファイルに保存することがあります。
リスク:
- もしあなたの電話やコンピュータがハッキングされたり、第三者に借りられたりすると、保存されたパスワードが露呈する可能性があります。
- これらのファイルをクラウドに同期している場合、クラウドアカウントが侵害されると、漏洩が発生する可能性があります。
専門家によるアドバイス:パスワードをプレーンテキストで保存することは避けましょう。ここでは、1Passwordのようなパスワード管理ソフトを使用してパスワードを保存することを強く推奨します。1つのパスワードを覚えるだけで、さまざまなサイトのパスワードを簡単に管理できます。
2. 多段階認証(MFA)
1. 2FAを設定しない
アカウント作成後、ウェブサイトからのセキュリティ通知を無視して取引を急ぎ2段階認証(2FA)を設定しないのは大きなリスクです!暗号資産取引所のアカウントが侵害されたケースの半数以上が、2FAを有効にしていなかったことが原因です。
リスク:メールアカウントが侵害されると、ハッカーは2FAを紐付けてセキュリティを回避し、資金を盗む可能性があります。
専門家のアドバイス:入金や取引を行う前に、2FA(Google Authenticator、メールアドレス、電話番号を使用)を設定してください。
2. Google Secretを保存するために不明なソフトウェアを使用する
Google AuthenticatorはGoogle Secretを保存し、リアルタイムでOTP認証コードを生成するソフトウェアです。ネットワーク隔離のためにGoogle Authenticatorをダウンロードできないユーザーは、代替ソフトウェアを選択することがあります。
リスク:不明なソフトウェア(悪意のあるソフトウェアである可能性もあります)をダウンロードして使用すると、これらのソフトウェアに存在するバックドアを通じてGoogle Secretが漏洩する可能性があります。
専門家のアドバイス:最初にGoogle Authenticatorを使用し、その後、MicrosoftやBinanceなどの業界から提供されている認証ソフトウェアを使用することを強く推奨します。
3. Google Authenticatorはクラウド同期を可能にします
:2023年にGoogle Authenticatorは、Googleアカウントクラウド同期機能を導入し、Authenticator上のGoogle Secretをクラウドにバックアップすることで、複数デバイス間で認証コードを移行できるようになりました。
リスク:クラウド同期は便利さを提供しますが、セキュリティリスクも伴います。Googleアカウントが侵害された場合、保存されたGoogleの認証コードが漏洩する可能性があります(Googleアカウントのデバイスに2FAがあるかどうかによります)。
専門家のアドバイス:
- 1. Google Authenticatorをオフライン(インターネットから切断された状態)で保持してください。
- 2. (もし1が実現不可能な場合)Googleアカウントのクラウド同期機能は有効にしないでください。
- 3. (クラウド同期が必要な場合)Googleアカウントに2FAを設定してください。
3. KYC
1. KYC非認証アカウント:
通常、KYC非認証アカウントはセキュリティリスクを伴いません。ただし、異常な状況下では、ハッカーがアカウントを侵害し、資産を引き出す手助けになる可能性があります。
リスク:ハッカーがBingXアカウントにアクセスし、KYCプロセスを完了させた後、認証されたKYC情報を使用して、リンクされたメールアドレス、電話番号、またはGoogle Authenticatorなどの他のセキュリティ対策の削除を要求する可能性があります。
専門家のアドバイス:できるだけ早くアドバンスKYC認証を完了してください。
2. KYC専用ID購入:
地域制限を回避したり、複数のアカウントを運営したりするために、第三者からオンラインでIDを購入してKYC認証を完了すること。
リスク:
- KYCデータが他人のものであるため、販売者が後に取引プラットフォームでアカウントの所有権を主張する可能性があり、これが紛争を引き起こし、資産の損失につながる可能性があります。
- BingXプラットフォームには、KYC違反を検出するための専門のシステムがあります。違反が検出された場合、アカウントが制限され、大きな不便を引き起こし、KYC購入に発生した資金が無駄になってしまう可能性があります。
各対策:
- 自分のIDとポートレートを使用して、アドバンスKYC認証を実行してください。
- オンラインでKYC認証サービスを購入しないでください。
3. 自分のIDを第三者のKYC用に販売する:
一部のユーザーは、自分のID情報をオンラインで販売し、第三者のKYC認証に使用させることがありますが、この行為自体が自らに深刻な影響を及ぼす可能性があることに気付いていません。
リスク:
- KYCを購入した購入者が、マネーロンダリングや犯罪行為などの違法活動にアカウントを使用する可能性があります。これにより、あなたが複雑な調査を受けることになり、場合によっては刑罰を受ける可能性もあります。
- IDとポートフォリオ情報が漏洩し、他のサイトで悪用される可能性があります。
専門家のアドバイス:自分のIDと個人のpポートフォリオ情報を常に保護し、オンラインで販売しないようにしてください。
4. 詐欺被害について
1. オンラインの友人を信頼してアカウント情報を共有する
お金儲けのスキームに騙されてアカウント詳細を共有するユーザーは、取引所アカウントの盗難で2番目に多いタイプです。
一部のユーザーは、加害者の誇張された利益主張や保証に騙され、高いリターンを期待して取引アカウントを渡してしまいます。彼らが知らないうちに、こうした場合には利益を得るどころか、元本の100%を失うことになります。
リスク: アカウントのパスワードやリアルタイム認証コードを詐欺師に提供すると、彼らがアカウントにアクセスできるようになり、資金が保護されなくなります。加害者は、ウォッシュトレーディング、出金、または法定通貨の引き出しなどの操作を行う可能性があります。
専門家のアドバイス:
- 高いリターンを約束・保証する人は疑いなく詐欺の加害者です。
- アカウントのパスワードを求める人は疑いなく詐欺の加害者です。
- 認証コードを要求する人は疑いなく詐欺の加害者です。
2. 悪意のあるソフトウェアやブラウザ拡張機能のインストール
ユーザーは、正規のソフトウェアの費用を避けるため、オンラインの連絡先からファイルを受け取るため、または詐欺サイトを訪れるために、クラックされたソフトウェア、悪意のあるプログラム、または疑わしいプラグインをインストールすることがあります。これにより、デバイスや個人のセキュリティに重大なリスクが生じます。例えば、最近暗号資産コミュニティで話題になった悪意のあるブラウザ拡張機能「Aggr Trade」は、多くのユーザーからアカウントと資金を盗んでいたことがわかりました。
リスク:
- マルウェアはデバイス上の重要な情報を監視し、盗むことがあります。
- マルウェアはリモートでデバイスを制御することがあります。
専門家のアドバイス:
- 公式ウェブサイトからのみ正規のソフトウェアをダウンロードしてください。
- 多くの権限を要求するソフトウェアやプラグインには注意し、権限を付与するかどうかを慎重に判断してください。
3. フィッシングサイトへのアクセス
多くのフィッシングサイトが、BingXと似たドメインやインターフェースを模倣しています。私たちは外部のセキュリティ機関と連携し、こうしたサイトをスキャンして即座に法的措置を講じることで削除していますが、新たなサイトが出現する可能性もあります。オンラインサービスを利用する際には、慎重に行動し、警戒を怠らないようにしましょう。
リスク:フィッシングサイトに誤ってアカウント情報、パスワード、認証コード、またはその他の機密情報を入力すると、アカウントのセキュリティが侵害される可能性があります。
専門家のアドバイス:
- 公式ウェブサイトhttps://bingx.comを必ず利用してください。
- BingXを偽装したフィッシングサイトやアプリを見つけた場合は、必ずご報告ください。当社は速やかに対処いたします。
5. その他
1. メール/SMS通知をオフにする
一部のユーザーは、頻繁に受信するメールやSMSメッセージが迷惑メールフォルダーに入ることに不満を感じ、これらの通知をオフにすることを選びます。
リスク:BingXからのアカウントの異常活動に関する通知を見逃す可能性があります。
専門家のアドバイス:
- BingXアカウントのメール/SMS通知を有効にしてください。
- BingXから送信された通知はすぐに確認してください。
2. 公共のデバイスでログアウトせずに新規登録する:
公共のデバイスでログアウトせずにBingXアカウントに新規登録することは、アカウントに対して重大なリスクをもたらします。
リスク:
- 公共のデバイスには、アカウント情報を盗む悪意のあるソフトウェアがインストールされている可能性があります。
- ログアウトを忘れると、第三者があなたのアカウントにアクセスし、操作する可能性があります。
専門家のアドバイス:
- 公共のデバイスでBingXアカウントにログインしないでください。
- (どうしても必要な場合は)公共のデバイスでアカウントを使用した後は、すぐにログアウトしてください。
