セキュリティ
nemlogのセキュリティ

「手間だけど安全な方法を。」

この考えに基づいて本サービスを作りました。"手間"と"セキュリティ"はトレードオフの関係にありますが、 仮想通貨を扱うにあたり、セキュリティの面で どのようにしてこの両者をうまく両立させられるかを考えました。

本サービスにおいてセキュリティリスクが発生する最たるポイントはnemを投げる時。正に本サービスの肝の部分です。 nemlogでは"キーファイル"という特殊なファイルを使用することで 投げnem時のセキュリティ強化を実施しています。 本サービスで投げnemする時、このキーファイルを読み込んでいただく仕組みになっています。 ユーザーの皆様には、キーファイルの作成、キーファイルの読み込みと若干の手間をかけてしまうのですが、 安心して投げnemしていただくために、この手段をとらせて頂いております。 以下にnem送金時のキーファイルの役割、そしてセキュリティへの寄与を簡単に説明しておりますので、ご一読いただければ幸いです。

nemの送金に必要な情報は基本的に以下二つです。
・送信先のnemウォレットアドレス
・送信元のプライベートキー(秘密鍵)

基本的にはたったこの2つの情報だけなんです。つまり自分の秘密鍵がバレてしまうと どこにでもいくらでも送金できてしまうわけです。 当然ですが、秘密鍵を自分だけが管理している状態が一番安全なわけですね。 でもnemを送金するときには絶対にこの秘密鍵が必要になるんです。 nem送金時に秘密鍵の入力を求められないwebシステムはオンライン(そのサービス)で秘密鍵を管理していることが大半です。 ハッキングされたら全てのウォレットが一発アウトです。nemlogはオンラインに一切の秘密鍵情報を保存しません。

ではオンラインで秘密鍵を管理しない場合、送金はどうやって実施するのか?
送金の際に各ユーザーに秘密鍵を入力してもらうことになるわけです。 実はnemlogも最初、秘密鍵を直接入力する形式でした。途中の通信が読み取られても秘密鍵がバレないように、 もちろん通信時は暗号化を施してはいました。

「でも、やっぱり秘密鍵を入力するは気持ち悪い。」

そう思われる方もいらっしゃいますよね?

秘密鍵を生の状態で入力するこが 敬遠されるのであれば、 秘密鍵自体をさらに暗号化してしまおうじゃないかと。それがnemlogで扱うキーファイルです。 大事に管理してくださいね。

「ん!?じゃあキーファイル盗まれたら終りじゃん?」

いいえ、まだ大丈夫。キーファイルは各ユーザーごとに別の暗号化がなされています。 AさんのキーファイルをBさんが盗んでも使えない仕組みにしてあります。

まとめるとnemlogのセキュリティ状況は以下の状態にあります。

・当然オンラインでは秘密鍵を一切保存しないのでサイトをハッキングされただけでは1xemも出ていかない
・秘密鍵をキーファイルに置き換え。キーファイルから秘密鍵を推測できない
・キーファイルはユーザーごとに別の暗号化がされている。盗まれただけでは特に問題なし
・キーファイルから復元した秘密鍵を更に暗号化した上で通信。ネット上に秘密鍵の生情報を流さない
・nemlogから発行したnemアドレスしか使えない。多くの資産が入ったウォレット使用を制限する目的

nemlogではなるべく安心して使っていただけるようにセキュリティの強化に努めていますが、100%確実ということはありません。
ユーザーさんサイドのマルウェア侵入はこちらでは対処が不可能ですので、
・不審なプログラムを使わない。
・怪しいメールは受信しない。
・信用できないリンクにはアクセスしない
等の自己防衛をきっちりとお願い致します。
また、溜まったnemは自分のウォレットに移す、取引所で換金するなど、nemlogのウォレットに大量のnemを保管しておかないことを nemberの皆様にもお願いしたいです。