シードフレーズ基礎解説|BIP39と秘密鍵の復元・セキュリティ対策
エバープレイ編集部シードフレーズとは何か — 基本の理解
シードフレーズ(seed phrase)、リカバリーフレーズ、マンモニックフレーズ(mnemonic phrase)とは、仮想通貨ウォレットや鍵管理において「秘密鍵(private key)」を再現するために使われる一連の単語のことを指します。一般的には12語・24語といった短い英単語の列で表され、これを使うことでウォレットのバックアップや復元が可能になります。
なぜシードフレーズが使われるのか
ブロックチェーンでは資産の所有権は秘密鍵によって証明されます。秘密鍵そのものは長いバイナリ列で人間には扱いにくいため、覚えやすく書き残しやすい単語列に変換したのがシードフレーズです。さらに、シードフレーズからは階層的決定性(HD: Hierarchical Deterministic)ウォレットの全てのアドレス・鍵を導出できるため、1つのシードフレーズで複数のアドレスと秘密鍵の管理が可能になります(BIP32/BIP44 などの規格に準拠)。
技術的な仕組み(BIP39 を中心に)
- BIP39 の定義:最も広く使われる標準は BIP39(Bitcoin Improvement Proposal 39)で、英語をはじめとする複数言語の単語リスト(各 2048 語)から単語を選び、これをシード(秘密鍵の元となるエントロピー)に対応させます。
- 語数とエントロピー:BIP39 ではエントロピー長は 128〜256 ビット(32 ビット刻み)が許され、それに応じて単語数は次の選択肢になります:12語(128ビット)、15語(160ビット)、18語(192ビット)、21語(224ビット)、24語(256ビット)。
- チェックサム:シードフレーズは純粋なエントロピーだけでなく、そのエントロピーのハッシュから得たチェックサムビットを付加して単語列を生成します。これにより入力ミスを発見しやすくなっています(チェックサム長 = ENT / 32)。
- 単語ビット幅:各単語は 11 ビットで表され(2048 語 = 2^11)、単語列全体でエントロピー+チェックサムのビット列を表現します。
- シードの導出:BIP39 の「mnemonic」から実際の「シード(seed)」へは PBKDF2(HMAC-SHA512)を用いて導出されます。ここで任意のパスフレーズ(パスワード)を付けられ、PBKDF2 のソルトは "mnemonic" + パスフレーズ、反復回数は 2048、出力は 512 ビット(64 バイト)です。
- HD ウォレットとの連携:得られたシード(64 バイト)は BIP32 等によりマスター秘密鍵・マスターチェーンコードを生成し、そこから派生パス(例:BIP44、BIP84 など)に従って個別のアドレスや鍵を生成します。
シードフレーズと「パスフレーズ(25th word)」の違い
ウォレットの多くはシードフレーズに加えて任意のパスフレーズ(パスワード)を設定できます。多くのユーザーはこれを「25番目の単語」と呼びますが、技術的には BIP39 の仕様では単語を追加するのではなく、PBKDF2 の salt にパスフレーズを追加してシード導出を変化させる仕組みです。
重要な点:
- パスフレーズを使うと、同じシードフレーズから異なるウォレット(異なる秘密鍵群)を復元できます。
- パスフレーズを忘れると、そのウォレットの資産は永久に復元不能となる(リカバリ不能)点に注意が必要です。
- パスフレーズは強力な保護手段だが、管理と伝達におけるリスクも増えるため、運用方針を明確にすることが重要です。
シードフレーズのセキュリティリスク
シードフレーズは「資産へのアクセス全権」を与えるため、漏洩・損失のリスクは極めて重大です。主なリスクは次の通りです。
- 漏洩:写真に撮る、クラウドに保存する、パソコンやスマホにテキストで保存する、メールやメッセンジャーに送るなどは盗難やマルウェアにより容易に漏れる。
- 物理的な損失:火災・水害・経年劣化・誤廃棄により紙やカードが消失する可能性。
- サプライチェーン攻撃や偽ハードウェア:市販のハードウェアウォレットが改ざんされている、あるいは不正なファームウェアが組み込まれている場合、生成時に秘密が盗まれる可能性。
- フィッシング:偽の復元画面や詐欺サイトにフレーズを入力してしまうと即座に盗まれる。
- 弱いパスフレーズ:パスフレーズを設定していても短く推測されやすい文字列だと辞書攻撃により突破される恐れ。
実務的なベストプラクティス
利用者が取るべき安全対策を列挙します。
- オフラインで生成:シードは可能な限りインターネットに接続されない環境(エアギャップ)で生成してください。ハードウェアウォレットやオフライン環境の専用ツールが推奨されます。
- 物理的バックアップ:紙に書くだけでなく、耐火・耐水の金属プレートに刻むと長期保存に強くなります。ただし刻印業者や第三者に見られないよう注意。
- 複数のコピーと分散:同じ場所に全コピーを保管するのではなく、異なる安全な場所に分散して保管(例えば家族の金庫、貸金庫等)。ただし複製は漏洩リスクも増やすためバランスが必要です。
- パスフレーズの慎重な運用:パスフレーズを使う場合は、忘れないよう厳格に管理すること。家族や相続人に伝える方法(法的文書、遺言、信頼できる弁護士/信託)を検討。
- 復元テスト:実際にウォレットを作成したら、別のデバイスで復元テストをして正しく復元できることを確認してください(小額資産でのテストが望ましい)。
- 不要な入力を避ける:シードをウェブサイトやホットウォレットのソフトに入力するのは極力避け、必要な場合でも信頼できるオープンソースソフトやハードウェアウォレットを使用。
- マルチシグや分割保管:高度なセキュリティを求める場合はマルチシグ(複数署名)ウォレットや Shamir の秘密分散(SLIP-0039)などを検討すると単一のシード漏洩リスクを軽減できます。
よくある誤解・注意点
- 「12語は見つからないほど安全」だけではない:12語は理論上 128 ビットのエントロピーを持ち非常に安全ですが、シードの保管方法が不適切だと攻撃者に簡単に取得されてしまいます。
- ウォレット間の互換性:多くのウォレットは BIP39 に準拠してますが、全てが完全互換というわけではありません(例:Electrum は独自のニーモニック方式を使っているバージョンがある)。復元する前に互換性を確認してください。
- 「25番目の単語」は存在しない:パスフレーズは単語ではなく任意の文字列です。パスフレーズを無くすと復元不可能になるため注意。
- バックアップは定期的に点検:紙や金属に書いたものも時間とともに劣化したり、記録が読み取れなくなることがあるため点検が必要です。
代替手段と補助的技術
- ハードウェアウォレット:シードを生成・格納・署名処理をデバイス内で完結させることで、秘密鍵をネットワークやホストPCから隔離します。
- マルチシグ(複数署名):複数の鍵の承認を必要とするため、単一のシードが漏れても即時被害には繋がらないようにできます。
- Shamir の秘密分散(SLIP-0039):1つの秘密を複数のシェアに分割し、一定数のシェアが揃うと復元できる方式。遺産相続や分散保管に適する。
- 耐タンパー・耐火保管:専用の金属ケースや銀行の貸金庫など、物理的に堅牢な保管方法を用いると災害や盗難のリスクを下げられます。
実際の運用フロー(初心者向けの手順)
- 信頼性の高いウォレット(ハードウェア推奨)を選ぶ。
- インターネットから切り離した環境またはデバイスでシードを生成する(デバイスが信頼できる場合)。
- 生成されたシードフレーズを紙と金属の両方に記録し、複数の安全な場所に分散して保管。
- 必要ならパスフレーズを設定するが、絶対に忘れないよう別途安全な方法で保管。家族・相続者への伝達計画を作る。
- 別のデバイスで復元チェックを行い、少額での入出金テストをする。
- 日常的にはハードウェアウォレットやコールドウォレットを使い、シードに触れない運用を続ける。
法務・相続面の配慮
シードフレーズは高価値資産の「鍵」であるため、所有者の不在時(死亡・長期入院など)に備えた法的・実務的対策が必要です。遺言書や信託、弁護士に預ける方法、あるいは信頼できる関係者との運用ルールをあらかじめ決めておくことが重要です。ただし、これらの中でシードを第三者に預ける場合は、預託先とその運用ルールを慎重に選ぶ必要があります。
まとめ
シードフレーズは仮想通貨の鍵管理における中心的な要素であり、適切に理解し管理することで高い利便性と安全性を両立できます。一方で一度漏洩したり紛失した場合の被害は取り返しがつかないため、オフライン生成、物理保管、復元テスト、パスフレーズの慎重な運用、マルチシグや秘密分散の検討など、多層的な対策を講じることが不可欠です。
参考文献
- BIP-0039: Mnemonic code for generating deterministic keys (GitHub)
- BIP-0032: Hierarchical Deterministic Wallets (GitHub)
- BIP-0044: Multi-Account Hierarchy for Deterministic Wallets (GitHub)
- SLIP-0039: Shamir’s Secret-Sharing for Mnemonics (SatoshiLabs SLIPs)
- trezor/python-mnemonic: BIP39 実装(Trezor)
- Electrum Wallet(公式) — Electrum のニーモニックについてのドキュメント
投稿者プロフィール
