【初心者注意】メタマスクの始め方とセキュリティ対策【PCおすすめ】

「メタマスクを安全に登録する方法は？」

「MetaMaskのセキュリティ対策として、初心者が注意すべきことを知りたい」

本記事の執筆者

「NFTやメタバースの世界を体験してみたい。」

そんなクリプト初心者の前に、最初に立ちはだかる壁、それがメタマスク。

慣れればなんてことないwebで使えるウォレット（お財布）機能なんですが、新しいツールは覚えることが多くて大変ですよね。

特に暗号資産の世界では、詐欺やクラッキングの事件が後を立たず、不安に思う方も多いのではないでしょうか？。

ぼく自身もメタマスクを使い出してから、資産を守るために必死にセキュリティ対策を調べました。

ぼくもまだ勉強中の身ですが、この業界は詐欺やクラッキングの手口も日進月歩。つまり現在進行形で学ぶ者の情報に、価値があります。

この記事では、2022年5月時点での最新のニュースなどを踏まえて、メタマスクをこれから始める方が、注意すべきことをまとめます。本記事を執筆するために、ぼくも実際にメタマスクを新しくインストールして、サブウォレットを作りました。

それでは、最新のメタマスクインストール方法と、初心者向けの注意点をくわしく解説します。

【初心者向け】メタマスクの始め方、登録方法【PCおすすめ】

それでは、さっそくメタマスクの始め方から解説します。

メタマスクの始め方・登録方法【検索には注意】

まずは早速ですが注意です。必ず公式サイトからダウンロードしましょう。

https://metamask.io/download/

MetaMaskはたまに詐欺サイトがトップ広告に出てることがあります。検索からアクセスする時は、注意しましょう。（上記URLは、確認済みです）。

今朝メタマスクってググってたら、偽物のサイトが検索結果の1番上に表示されてました😨
現在は表示されてないっぽい？のですが、「広告」って付いてるサイトは開かないように再度注意喚起です！(自分への戒めを含めて…)👍#NFTJapan #NFT pic.twitter.com/fBlNhsqGdN

— 🌈にじてん (@nijiten_) October 19, 2021

上記は、Twitterで見つけたMetaMaskの詐欺サイト広告の事例。

クリプトの世界では公式マークのついたTwitterやDiscordですら、たまに乗っ取られる事件も…。ぼくは初めてのサービスを触る時は、信頼できるブログのリンク経由でアクセスし、２度目以降はブックマークから訪問しています。

MetaMaskは、PCブラウザのChrome拡張機能がおすすめ

MetaMaskが初めてならまずは、chrome拡張版をインストールしましょう

Braveなど他にお好みのブラウザがあれば、そちらでもOKですが動作が最も安定してるのはChromeです。

『Install MetaMask for Chrome』をクリックすると、インストールが始まります。

MetaMaskのインストール手順【Chrome拡張機能版】

『Chromeに追加』をクリック。

『拡張機能を追加』をクリック。これでインストールは完了です。

MetaMaskのパスワードとシークレットリカバリーフレーズの設定手順

次にMetaMaskの設定に進みます。

『開始』をクリック

『ウォレットを作成』をクリック。

『同意する』をクリック。

パスワードを入力し、『利用規約を読んで同意しました』にチェックを入れたら『作成』をクリック。

ちなみに100文字以上、記号含むランダム文字列の鬼強パスワードも設定できました。覚えられないリスクとの兼ね合いもあるので、各自お好みのパスワード管理方法で。

少なくとも、他と同じパスワードの使い回しだけは絶対にやめましょう。

『次へ』をクリック。動画は、見なくても先に進めます。

内容は、セキュリティ上の注意とか。1分半なので、英語の勉強がてら目を通しておくのも良いかと。

クリックすると、シークレットリカバリーフレーズ（秘密の言葉）が表示されます。

複数の英単語が表示されるので、左上から右下に順番どおり記録します。オススメの管理方法は、ひとまず紙で手書きです。少なくともクラウドサービス上のメモとか、写メで保管するのは絶対に避けましょう。

シークレットリカバリーフレーズは、絶対に人に教えたり、無くしてはいけません。くわしい管理方法や注意点は、後ほど解説します。

先ほどメモした、シークレットリカバリーフレーズを正しい順番で入力します。

入力を終えたら『確認』をクリック。

おめでとうございます。MetaMaskのインストールと設定が完了しました。

MetaMaskのログイン方法

MetaMaskのログイン方法はこちらです。

Chromeの拡張機能から、MetaMaskを選んで『固定』をクリック。

Chromeのタブに、きつねのロゴが出現したらOK。『MetaMaskのロゴ』をクリック

設定したパスワードを入力して、『ロック解除』をクリック。

この画面になったらログイン成功です。

MetaMaskのアカウント名変更方法

ちなみにアカウント名は、こちらから変更できます。

『アカウントの詳細』をクリック。

デフォルトのアカウント名『Account1の横の鉛筆』ボタンをクリック

『チェック』ボタンをクリックしてから閉じる。

メタマスクを安全に使用するための注意点【セキュリティ対策まとめ】

次にMetaMaskをなるべく安全に使うための、セキュリティ対策や注意点をまとめます。

【最重要】シークレットリカバリーフレーズの管理

MetaMask初心者が、まず絶対に押さえておきたいのが、シークレットリカバリーフレーズの重要度です。

ちなみに呼び方はころころ変わり、バックアップフレーズ、シードフレーズ、秘密の言葉などと呼ぶことも。MetaMaskさん、統一して下さい…。

ここでは最新のインストール手順で表示された、シークレットリカバリーフレーズに統一して話を進めます。

また、いわゆるパスワードや秘密鍵とは別物です。紛らわしいですが、下記の通り。

紛らわしいMetaMask用語

1. シークレットリカバリーフレーズ（バックアップフレーズ、シードフレーズ、秘密の言葉）
   MetaMaskの復元用の複数の英単語です。（PCを買い替えた時などに使います。）
2. パスワード
   先ほどあなたが設定したもの。（メタマスクのログインに使います。）
3. 秘密鍵（プライベートキー）
   複数端末で同じウォレットを使いたい時や、他のウォレットと連携したい時に発行するランダムな文字列です。（くわしくは、割愛します）

それでは、シークレットリカバリーフレーズを管理する注意点です。ここは熟読して下さい。

シークレットリカバリーフレーズは、絶対に無くしてはいけない

ふたたび公式サイトの画面から、「バックアップは複数の場所に保存します。」とありますね。

銀行や証券口座とちがい、暗証番号や口座番号を忘れたから再発行してもらう、なんてことはできません。MetaMaskはじめ分散型webサービスの基本理念は自己責任です。

絶対に無くさないように、厳重に管理して下さい。

オススメの方法は、紙に書いて複数の場所に置くことですが、隠し場所を増やすほど盗難リスクも増えるデメリットも。このあたりは好みですね。

万が一、シークレットリカバリーフレーズを無くしてしまった時は？

MetaMaskが使えるならば、新しいウォレットを作り、資産を急いで移しましょう。
（例えば、紙に書いたメモを紛失したけど、MetaMaskをインストールしたPCはあるケース）

シークレットリカバリーフレーズを無くした状態で、MetaMaskを入れたPCが壊れたら詰みです。資産を取り出すことは、出来ません。

シークレットリカバリーフレーズを使って復元する方法

万が一、MetaMaskを入れたPCが壊れたりしても、シークレットリカバリーフレーズさえあれば簡単に復元できます。

この画面で、メモしたシークレットリカバリーフレーズを入力して、新しいパスワードを設定すればOK。かんたんですね。

シークレットリカバリーフレーズは、絶対に人に教えてはいけない

逆に言えば、シークレットリカバリーフレーズさえあれば誰でもかんたんに、あなたのウォレットを復元できちゃいます。

MetaMaskを乗っ取られたら、資金移動も思いのままです。なので、絶対に誰にも教えてはいけません。

MetaMask公式サポートだろうが、OpenSeaの公式サポートだろうが、警察を名乗ろうが絶対に教えてはいけません。

銀行の通帳と印鑑と暗証番号を、まるっと相手に渡すようなものです。シークレットリカバリーフレーズを聞かれたり、サイトで入力を求められたら、まず詐欺だと思って下さい。

大事なことなのでもう一度、

シークレットリカバリーフレーズだけは、絶対に人に教えてはいけません！。

シークレットリカバリーフレーズをクラウドに保管してはいけない

iOSのメモ機能や、写メを撮って保管するのも危険です。

iPhoneのメモ機能は、デフォルトでiCloudに保管する設定になってます。写メもGoogle フォトやDropboxなどのバックアップサービスを使ってたらクラウドに自動でアップされます。

うっかり一括でクラウド上に上げてしまうかもしれないので、シークレットリカバリーフレーズは紙で保管するのがおすすめです。

いったんクラウドに上げてしまうとログを完全に削除するのが難しい場合も。そしてサーバーから漏洩したら一巻の終わり…。

MetaMaskアプリ版をオススメできない理由

あらためて初心者にPCブラウザ版をおすすめする理由です。

スマホ版のMetaMaskは、次のようなリスクがあります。

スマホを無くしたら大ピンチ

スマホアプリ版のMetaMaskのみインストールしていた場合、スマホを外で紛失したらピンチです。（シークレットリカバリーフレーズさえあれば、いちおう復元は可能ですが…。）

誰かに拾われて、スマホのロックが抜かれたら、相手は自由にあなたのウォレットから資金を移動できちゃいます。せめてスマホのパスコードだけでも、しっかりと設定しておきましょう。

スマホをスられたら大ピンチ

日本はまだ治安がいいですが、海外旅行中にスマホをスられたり、強盗にあったら大ピンチです。

知識がある相手なら、MetaMaskアプリもかんたんに操作できます。

フィリピンで商店街のおじいさんが、観光客が来なくなったのでNFTゲームで生活費を稼いでたりします。つまり海外の方が、日本人よりよほどクリプトリテラシーが高い。国や地域によっては、スられたらかなり危険です。

アプリ版を使うなら、スマホのパスコード設定と、MetaMaskのパスワード管理は徹底しましょう。

強盗に会って、その場で生体認証取られたり…とか考え出したらキリがないですが、せめて事前に備えられる所だけでもしっかりと。

iCloudで勝手にシークレットリカバリーフレーズのバックアップとられてた事例

iOSアプリ版のMetaMaskにはこんなリスクも。

iCloudの自動バックアップから、メタマスクにアクセスされてしまった事例があります。

参考：コインテレグラフの記事。「メタマスク、iCloudユーザーのフィッシング攻撃を警告」

被害者は、Appleサポートを装った詐欺師から、まずAppleIDのパスをだまし取られ、Backupデータ経由でメタマスク垢にアクセスされたそうです。要するに、MetaMaskアプリ版は標準で、クラウド上に大事なシークレットリカバリーフレーズを保存していたらしい。

だからクラウド保存はやめてと…あれほど。

本件の対策について、MetaMask公式からのお知らせはこちらです。

🔒 If you have enabled iCloud backup for app data, this will include your password-encrypted MetaMask vault. If your password isn’t strong enough, and someone phishes your iCloud credentials, this can mean stolen funds. (Read on 👇) 1/3

— MetaMask 🦊🫰 (@MetaMask) April 17, 2022

スレッド含めて翻訳します。

1/ アプリのデータのiCloudバックアップを有効にしている場合、パスワードで暗号化されたMetaMaskのデータ保管庫が含まれます。パスワードが十分強固でない場合、誰かがあなたのiCloud認証情報を詐取すると、資金が盗まれる可能性があります。

2/ MetaMask専用のiCloudバックアップは、以下のトグルをオフにすることで無効化できます。 設定 > プロファイル > iCloud > ストレージの管理 > バックアップ.

3/ 今後、iCloudが要求していないバックアップを驚かないようにしたい場合は、次の場所でこの機能をオフにすることができます。 設定 > Apple ID/iCloud > iCloud > iCloudバックアップ

出典：Twitter

iPhoneアプリ版を使うなら、MetaMaskのiCloudバックアップはオフにしておきましょう。

スマホアプリ版MetaMaskを使うメリットは？

さんざんアプリ版MetaMaskのリスクを挙げて来ましたが、便利さやセキュリティのバランスはトレードオフです。

逆に、「スマホにMetaMaskアプリを入れてたから助かった…。」なんてパターンも考えられます。（例えば、火事でシークレットリカバリーフレーズを書いたメモも焼失し、PCも壊れてしまった…。けどスマホは手元で無事みたいなケース。）

シークレットリカバリーフレーズの消失リスクと、MetaMask入りスマホの紛失リスク、どちらに寄せるかバランスの問題ですね。ぼくのオススメは、初心者ならまずはPCブラウザ版だけ入れて、様子を見るのがオススメです。

スマホ版を使う場合も、各自前述のようなリスクを抑えた上でご利用ください。知識があれば、心の備えができ、トラブル時の初動も早くなります。

MetaMaskとツイートすると、詐欺師のbotが沸きます

先日、こんなツイートをしました。

MetaMaskとツイートすると、いまだに詐欺botが沸くかのテスト#MetaMask サポートなどを名乗るbotが、あやしいリンクをこのリプに貼るかもですが、決して踏まないで下さい。

— ぷらは＠ポストプライム (@Prime_Hacks) May 19, 2022

MetaMaskとツイートすると、いまだに詐欺botが沸くかのテスト #MetaMask サポートなどを名乗るbotが、あやしいリンクをこのリプに貼るかもですが、決して踏まないで下さい。

すると、ものの数分で釣れました。

出典：Twitter

ざっくり要約すると、

「このサポートにメールしたら、ぼくは解決したよ！。オススメ！」

などと申しております。いやいやぼくのツイート、ちゃんと読んでよ（汗）。

「MetaMask使ってみた！」とか呟いたり、Twitterで不特定多数に使い方を尋ねるのは危険ですのでご注意を。

ちなみにカタカナ表記で「メタマスク」だと、botもあまり来ませんよ。

MetaMaskを使わない時は、小まめにロック

MetaMaskを使わない時は、小まめにロック（ログアウト）しましょう。

ロック方法はこちら。

画面右上の『アイコン』をクリック。

『ロック』をクリック。

パスワード入力画面に戻れば、ロック完了です。

サイトデータの読み取りと変更を行います

MetaMaskに限らず、Chromeの拡張機能はデフォルトで全てのサイトデータを読み取る設定になっています。

例えば、銀行や証券のログイン画面とか、関係ないサイトでデータ取られてたらなんか嫌ですよね。

拡張機能は使用するサイトを、限定しておきましょう。方法はこちら。

Chromeの『拡張機能ボタン』
→MetaMask固定ボタン横の『3点マーク』
→『サイトデータの読み取りと変更を行います』の順にクリック。

デフォルトでは、「すべてのサイト」になってます。

「拡張機能をクリックしたとき」か使用するサイトだけに変更しましょう。

ちなみに「拡張機能をクリックしたとき」だと、うまく動作しない事もあります。（サイトを横断するときや、チェーンを切り替える時など、表示がうまく切り替わらないケースがありました。）

なのでぼくは、基本「拡張機能をクリックしたとき」に設定。しばらくガチャガチャ触る時だけ、『すべてのサイト』などに切り替える。作業が終了したら、元に戻してMetaMaskもロックしています。

繰り返しますが、MetaMaskに限らずDeepL翻訳など他のプラグインも、はじめは『すべてのサイト』設定になってるはず。Chrome拡張機能を使っているなら、確認して変更する事をオススメします。

ひとまず、MetaMask初心者が抑えておくべきポイントは以上です。

また新しい事例など何か発見したら、こちらに追記しますね。

まとめ：投資やweb副業に興味がある方にオススメのSNS

さいごに、ぼくがメインで使っているSNS、PostPrime（ポストプライム）をご紹介します。

高橋ダンさんはじめ、著名な投資系YouTuberが多数在籍。

投資情報のリサーチや、新しい働き方にご興味のある方は、ぜひ覗いてみて下さい。

ぼくのPostPrimeプロフィールページはこちらです。

ポスプラに関するご質問や、記事のご感想など、固定投稿のコメント欄までお気軽にどうぞ！

合わせて読みたい！PostPrimeのまとめ記事

あわせて読みたい

PostPrime運用に役立つ21記事まとめ【保存版】使い方から稼ぎ方まで 「PostPrime運用の基本から応用まで学習したい…。」 高橋ダンさんの最新SNS、PostPrimeをマスターしたいあなたへ 本記事の内容 本記事では、PostPrimeの基礎知識から稼...

PostPrimeの基礎知識から稼ぎ方など、運用に役立つ記事を全てまとめております！