暗号化セキュリティ専門家周アキンがブロックチェーンのセキュリティについて語る

司会者：アレックス、リサーチパートナー

ゲスト：周亚金、あるブロックチェーンセキュリティ会社のCEO

収録時間:2025年3月28日

声明：本期ポッドキャストの議論内容はゲストが所属する機関の見解を代表するものではなく、言及されたプロジェクトは投資の助言を構成するものではありません。

あるセキュリティ会社のサービス範囲とターゲット顧客

**アレックス：**今回の番組では暗号世界の安全性について話します。自分の資産のためにファイアウォールを構築することは、暗号の旅を始める前の必修科目です。今日はあるブロックチェーンセキュリティ会社の周アキンさんをお招きして、暗号の安全性についてお話ししていただきます。周先生、挨拶をお願いします。

**周亚金：**皆さんこんにちは、私は周アキンです。現在、あるセキュリティ会社でCEOを務めています。また、私は浙江大学でサイバー空間の安全に関する研究を行っています。皆さんとお会いできて嬉しいです。

**アレックス：**はい、では本題に入りましょう。周先生、まずは御社について紹介していただけますか？提供しているサービスの内容はどのようなもので、どのような人や機関が御社の顧客になるのでしょうか。

**周亚金：**はい、私たちは2021年に設立されたWeb3セキュリティ会社です。私たちのビジネスは三つの主要なセクターに分かれています。最初のセクターは、ブロックチェーン上のプロトコルのセキュリティで、安全監査と監視製品を提供します。第二のセクターは資産セキュリティに焦点を当て、ユーザーのウォレットとプロトコル内の資産の安全を保護します。第三のセクターはコンプライアンスと規制で、伝統的な金融機関が暗号業界に参入する際に規制要件を満たすのを支援します。

私たちの顧客は幅広いです。まず、ブロックチェーン上にスマートコントラクトを展開する開発者やプロジェクトがいます。私たちは彼らに安全監査と監視サービスを提供しています。次に、大量の暗号資産を持つ高所得の顧客がいます。私たちは彼らが投資しているプロトコルの安全性を監視する手助けをしています。第三のカテゴリーは、香港証券監視委員会やいくつかの法執行機関のような規制機関で、デジタル通貨に関連する犯罪を調査するために私たちのツールを必要としています。

暗号化セキュリティに関する3つの提案

**アレックス：**もしあなたの周りに暗号投資の世界に初めて入る友達がいるなら、彼に暗号の安全性についてどの3つのアドバイスをしますか？

**周亚金：**最初の提案は、プライベートキーの保護に関するものです。プライベートキーは一連の数字であり、一度失ったり漏えいしたりすると、他の人があなたの資金を制御できるようになります。プライベートキーのリカバリーフレーズをメモして金庫に保管し、普段は触れないことをお勧めします。日常使用時には、専用の信頼できるデバイス(、例えばハードウェアウォレットやスマートフォン)を使用してプライベートキーを保存してください。

二つ目の提案は、ブロックチェーン上で取引を行う際には安全意識を持つことです。天から餡入りパイは落ちてこないことを忘れないでください。多くの人々、特に業界の著名人もフィッシング攻撃に遭遇したことがあります。見知らぬウェブサイトがウォレットを接続してエアドロップ報酬を得るように要求してきた場合は、必ず注意してください。

第三の提案は、暗号資産の基本知識、特に承認メカニズムを理解することです。暗号の世界では、署名を通じて資産を契約や他のユーザーに利用させることができます。ウォレットの署名を行う際は特に注意し、誤って署名を許可する取引を避けるようにしてください。

サイバー攻撃を体験する

アレックス："ソーシャルエンジニアリング攻撃"とは何か説明していただけますか？

**周亚金：**ソーシャルエンジニアリング攻撃の正式名称は社会工学的攻撃であり、技術的手段を利用するのではなく、あなたの仕事の習慣、人間関係、職務などに基づいて設計された攻撃手法です。私は自分の体験に基づいたケースを共有できます。

会社の CEO として、私はイベントへの招待や投資機関からの連絡を頻繁に受け取ります。ある時、自称投資機関の人物が会社のメールを通じて私に連絡し、投資機会について話し合いたいと言いました。私たちはバックグラウンドチェックを行いますが、この機関はとても正式に見えました。ビデオ会議の日程を決めた際、彼らは会議リンクを提供せず、会議の時間が近づくにつれてソフトウェアをダウンロードするように求めるリンクを送ってきました。もし焦って何も警戒せずにインストールしてしまったら、コンピュータ内の秘密鍵が盗まれる可能性があります。

この攻撃は、私の地位と職務、および会議前に機会を急いで作り出そうとする心理を利用しています。これは典型的なソーシャルエンジニアリング攻撃のケースです。

とブロックチェーンプロトコルとのインタラクション時のセキュリティ原則

**アレックス：**DeFiプロトコルと相互作用する際に、どのようなセキュリティ原則を遵守する必要がありますか？一般ユーザーはどのようにリスクを低減できますか？

**周亚金：**まず、プロジェクト側のバックグラウンドチェックを行う必要があります。創設者の背景を理解し、プロジェクトが主要なセキュリティ会社による監査を受けているかどうかを確認します。次に、段階的な投資方法を採用し、一度に大きな資金を投入しないようにします。資金量が大きいユーザーには、専門的なセキュリティツールを使用して投資契約のリスクを監視することをお勧めします。

一般のユーザーにとって、主にフィッシングリスクを防ぐことが重要です。天から饅頭が落ちてくるという言葉を信じないでください。やり取りの際には、公式ウェブサイトであることを確認し、偽サイトではないか確認する必要があります。安全なツールを使用してフィッシングサイトを識別することができます。

また、定期的に使用しなくなった権限を確認し、取り消す必要があります。多くのユーザーが数十のプロトコルに権限を与えていることがわかりましたが、その中には活動していないものも多く、これがセキュリティリスクになる可能性があります。

ブロックチェーン安全業界の現状と潜在能力

**アレックス：**現在のブロックチェーンセキュリティ業界の規模、発展状況、そして利益レベルはどのようになっていますか？

**周亚金：**いくつかの報道や試算によれば、ブロックチェーンのセキュリティ業界の年間規模は約30億ドルであり、従来のネットセキュリティ産業の1000億ドルの規模と比較するとまだ小さい。これはブロックチェーン業界全体の発展段階に関連している。

現在、業界の発展は幾つかのボトルネックに直面しており、TVLは最高の1770億ドルから現在約990億ドルに減少しています。しかし、私たちは新たな可能性も見ています。それは、従来の金融機関がこの分野に参入していることです。例えば、従来の銀行がチェーン上のステーブルコインを発行し、決済会社が暗号化された通貨での支払いをサポートするなどです。

伝統的な金融機関が参加し、業界が規制される中、私はブロックチェーンセキュリティ業界の未来にはまだ大きな発展の余地があると考えています。

ヘッダーセキュリティ会社のモナコ

**アレックス：**あなたが考える主要なセキュリティ会社の競争優位性は何ですか?

**周亚金：**私は3つの側面があると思います:

1. ブランドと信頼。セキュリティ監査はブランド認知に対して非常に高い要求があり、トップ企業は依然として供給不足の状態にある。

2. セキュリティ革新技術。監査に加えて、攻撃監視や遮断など、スマートコントラクトの全ライフサイクルをカバーできるセキュリティソリューションが必要です。

3. コンプライアンス、規制および地政学的要因。業界の発展はコンプライアンスの規制枠組みの下で行われる必要があり、この分野の製品とサービスをあらかじめ準備することが重要です。同時に、地域によってはサプライヤーを選定する際に地政学的な考慮が必要になる場合があります。

**アレックス：**周亜金の今日のシェアに非常に感謝しています。今後も関連する話題についてもっとお話しできる機会があればと思います。

**周亚金：**ありがとう、アレックス。