Guides ·

Bitcoinシードフレーズをオフラインで生成する方法(ステップバイステップ)

Bitcoinシードフレーズをオフラインで生成することは、暗号資産の保有を保護するために取れる最も重要な単一のステップです。接続されたデバイスでシードフレーズを生成する場合、マルウェア、ブラウザ拡張機能、キーロガー、ネットワークスニッファーが監視していないと信頼する必要があります。エアギャップ生成はこれらすべてのリスクを同時に排除します。

このガイドでは、ハードウェアの準備からチェックサムの検証、結果の安全な保管まで、完全なオフライン環境でBitcoin用のBIP39シードフレーズを生成する完全なプロセスを説明します。

なぜオフラインで生成するのか?

すべてのBitcoinウォレットはシードフレーズから始まります。通常、BIP39単語リストから選ばれた12語または24語です。このシードフレーズは、HDウォレット階層を通じてすべての秘密鍵公開鍵、アドレスが導出されるマスターキーです。シードフレーズを入手した人は、すべての資金を管理できます。

オンライン生成に対する脅威モデルには以下が含まれます:

マルウェアとスパイウェア。 キーロガーは画面に表示される内容を記録できます。画面キャプチャマルウェアは定期的にスクリーンショットを撮ることができます。クリップボードモニターはコピーされたデータを傍受できます。生成ツール自体が信頼できても、実行されるオペレーティングシステムがそうでない可能性があります。

ブラウザ拡張機能攻撃。 悪意のあるまたは侵害されたブラウザ拡張機能は、シードフレーズジェネレーターを含むあらゆるウェブページにコードを注入できます。攻撃者が予測できる決定論的な生成器で暗号乱数生成器を置き換えたり、生成されたフレーズをリモートサーバーに送信したりする可能性があります。

ネットワーク傍受。 HTTPSがデータを転送中に保護しますが、侵害された認証局や高度な中間者攻撃が理論的に接続を傍受する可能性があります。より実際的には、DNSハイジャックが正規ツールのフィッシングクローンにリダイレクトする可能性があります。

サプライチェーン攻撃。 信頼できるツールであっても、インフラストラクチャレベルで侵害される可能性があります。CDN侵害、依存関係インジェクション攻撃、または侵害されたビルドパイプラインが、検出が非常に困難な悪意のあるコードを導入する可能性があります。オンラインシード生成器の安全性の分析でこれらのリスクを詳しく解説しています。

オフライン生成はすべてのネットワークベースの攻撃ベクトルを排除し、ソフトウェアベースの攻撃の表面積を大幅に削減します。これは偏執ではなく、意味のある価値を保持するウォレットに対してすべての真剣なBitcoinセキュリティガイドが推奨する標準的なプラクティスです。

エアギャップ環境チェックリスト

始める前に環境を準備してください。目標は、生成プロセス中またはその後にインターネットに接続されたことがない、理想的にはまったくインターネットに接続されないデバイスです。

ハードウェアオプション(1つ選択)

オプションA:専用の古いノートパソコン。 ゴールドスタンダードです。インターネットに接続しないノートパソコンを使用します。ドライブを消去してクリーンなオペレーティングシステムをインストールします(TailsのようなLinuxライブUSBが理想的)。このノートパソコンは専用のオフライン署名デバイスになります。

オプションB:任意のコンピュータでライブUSB。 LinuxライブUSB(TailsやUbuntuなど)からコンピュータを起動します。ライブ環境は完全にRAMで実行され、ハードドライブに痕跡を残しません。起動前にイーサネットケーブルを抜き、WiFiを無効にしてください。

オプションC:現在のコンピュータ(最低限のセキュリティ)。 日常使用のコンピュータを使用する必要がある場合、最低限:すべてのアプリケーションを閉じ、WiFiとBluetoothを無効にし、イーサネットケーブルを抜き、外部デバイスが接続されていないことを確認してください。これはオプションAやBよりかなりセキュリティが低いですが、オンライン生成よりはるかに良いです。

環境チェックリスト

  • [ ] ハードウェアレベルでWiFi無効化(ソフトウェアトグルではなく、物理スイッチまたはBIOS設定)
  • [ ] イーサネットケーブルを物理的に切断
  • [ ] Bluetooth無効化
  • [ ] 不要なUSBデバイスをすべて取り外し
  • [ ] 部屋にスマートフォンやカメラがない(画面を撮影される可能性)
  • [ ] ブラウザのすべての拡張機能をクリア(または新しいブラウザプロファイルを使用)
  • [ ] 画面共有やリモートデスクトップソフトウェアが動作していない
  • [ ] ライブUSB使用時:内部ドライブではなくUSBから起動

少額には過剰に見えるかもしれません。保護する価値に合わせてセキュリティを調整してください。失った場合に生活に深刻な影響を与える金額であれば、完全なチェックリストが正当化されます。

オフライン使用のためにSafeSeedをダウンロード

SafeSeedはサーバー通信なしで完全にブラウザ内で動作します。このアーキテクチャはオフライン使用に完璧に適しています:ページをダウンロードし、インターネットから切断し、何もデバイスから出ないという完全な確信を持ってシードフレーズを生成できます。

ステップバイステップのダウンロード

  1. 接続されたデバイスで(エアギャップマシンとは別のコンピュータでも可)、SafeSeedのBitcoin Seed Phrase Generatorにアクセスします。

  2. ページ全体を保存します。 ブラウザで「名前を付けて保存」(Ctrl+SまたはCmd+S)を使用し、「ウェブページ、完全」を選択してHTMLファイルとすべてのアセットを保存します。あるいは、複数のセッションでツールを使用する予定であれば、ブラウザのオフラインモードを使用するか、ページを単一ファイルアーカイブとして保存できます。

  3. エアギャップデバイスに転送します。 保存したファイルをUSBドライブにコピーします。このUSBドライブは理想的には新品か新しくフォーマットされたものであるべきです。ライブUSBセットアップを使用している場合、このファイル用に2つ目のUSBドライブが必要です。

  4. ファイルを確認します。 インターネットから切断する前に、保存したファイルサイズをオンラインで表示されるものと比較して、ダウンロードが完全であることを確認できます。追加の確認として、JavaScriptソースが乱数生成にWeb Crypto APIを参照していることを確認してください。

重要な原則は:接続中にダウンロードし、生成する前に切断することです。デバイスにネットワーク接続がある状態でシードフレーズを生成しないでください。

切断して生成

エアギャップ環境が準備でき、SafeSeedページがローカルに保存されたら、以下の手順に従います。

生成プロセス

  1. 切断されていることを確認します。 ネットワーク設定を開き、WiFiがオフで、イーサネットが接続されておらず、モバイルホットスポットやBluetoothテザリングがアクティブでないことを確認します。Linuxでは、ターミナルでip linkを実行するとすべてのネットワークインターフェースがDOWNと表示されるはずです。

  2. 保存したSafeSeedページを開きます。 保存したHTMLファイルに移動してブラウザで開きます。ローカルファイルから完全にロードされます。

  3. パラメータを選択します。 12語または24語のシードフレーズを選択します。長期のBitcoinコールドストレージには、24語(256ビットのエントロピー)が推奨されます。数年から数十年保有する予定の資金にとって重要な、著しく大きなセキュリティマージンを提供します。エントロピーがセキュリティに影響する仕組みについては、暗号資産におけるエントロピーとはをお読みください。

  4. シードフレーズを生成します。 生成ボタンをクリックします。SafeSeedはブラウザのcrypto.getRandomValues()関数を使用し、オペレーティングシステムの暗号乱数生成器(例:Linuxの/dev/urandom)からランダム性を取得します。これはOpenSSL、GPG、すべての本格的な暗号アプリケーションで使用されるのと同じエントロピーソースです。

  5. シードフレーズを手書きで記録します。 クリップボードにコピーしないでください。スクリーンショットを撮らないでください。テキストファイルに保存しないでください。各単語を紙に明確に書き、1から12(または24)まで番号を付けてください。画面のリストと各単語を再確認してください。

  6. 2枚目の紙にもう一度書きます。 バックアップを作成しています。両方のコピーを単語ごとに比較して、正確に一致することを確認してください。

SafeSeedが対応するBitcoinアドレス秘密鍵も表示する場合、最初の受信アドレスも記録してください。これにより、シードフレーズを別のデバイスに公開することなく、後でシードフレーズが正しく復元されることを確認できます。

チェックサムの確認

BIP39シードフレーズは単なるランダムな単語の選択ではありません。最後の単語にはフレーズ全体の整合性を検証するチェックサムが含まれています。これは重要なセキュリティ機能です:誤って間違った単語を書き留めると、ウォレットを復元しようとした際にチェックサムが失敗し、アドレスに資金を入金する前にエラーを知らせてくれます。

チェックサムの仕組み

12語のシードフレーズの場合:128ビットのエントロピーが生成され、4ビットのチェックサム(エントロピーのSHA-256ハッシュの最初の4ビット)が追加されて合計132ビットになります。この132ビットは12個の11ビットグループに分割され、各グループがBIP39単語リストの2,048語の1つにマッピングされます。最後の単語は部分的にエントロピーによって、部分的にチェックサムによって決定されます。

24語フレーズの場合、プロセスは同じですが256ビットのエントロピーと8ビットのチェックサムを使用します。完全な説明はBIP39完全解説をご覧ください。

検証手順

  1. 同じオフラインデバイスで、SafeSeedにチェックサム検証機能がある場合、それを使用して手書きのフレーズが有効であることを確認します。書き留めた単語を入力し、ツールがそれらを受け入れることを確認します。

  2. 代替として、利用可能なハードウェアウォレット(LedgerやTrezorなど)がある場合、そのデバイスでシードフレーズを復元して、期待される最初のアドレスが生成されることを確認できます。これは独立したソフトウェアを使用するため、最も堅牢な検証です。

  3. オンラインツールにシードフレーズを入力して検証しないでください。 オフライン生成の要点は、シードフレーズがネットワーク接続されたデバイスに決して触れないことです。検証もオフラインで行う必要があります。

チェックサムが失敗した場合、そのフレーズを使用しようとしないでください。新しいものを生成してください。チェックサムの失敗は少なくとも1つの単語が間違っていることを意味し、どの単語が間違っているかを推測するのは現実的ではありません。

安全な保管オプション

紙に書かれた有効なBitcoinシードフレーズが手元にあります。生成は完了しましたが、セキュリティの話はまだ始まったばかりです。このフレーズをどのように保管するかが、ビットコインが今後何年も安全であり続けるかを決定します。包括的な内容についてはコールドストレージガイドをご覧ください。

紙の保管

紙は最もシンプルな保管媒体です。機能しますが、水、火、時間の経過による物理的劣化に脆弱です。

紙のベストプラクティス: - 可能であれば無酸性のアーカイバル用紙を使用してください。 - 鉛筆で書いてください(インクは褪色する可能性がある)またはアーカイバルマーカーを使用してください。 - 防水バッグまたは容器に保管してください。 - 耐火金庫に保管してください。 - 地理的に離れた場所にコピーを保管してください(例:自宅の金庫と銀行の貸金庫)。

金属バックアップ

長期保管には、シードフレーズをステンレスやチタンにスタンプまたは刻印することで、火災、水害、腐食からの保護を提供します。この目的のための商業製品がいくつか存在します:文字スタンプ付きの鋼板、刻印文字付きのスタック可能なワッシャー、スライド式文字タイル付きカセットなどです。

金属バックアップは家屋火災(鋼の融点は約1,370度で、一般的な家屋火災の温度をはるかに超える)や洪水に耐えられます。重要と考える金額には推奨される保管媒体です。

保管場所の分散

シードフレーズのすべてのコピーを1つの場所に保管しないでください。単一の壊滅的な事象(火災、盗難、洪水)がすべてのコピーを同時に破壊する可能性があります。推奨されるアプローチ:

  • プライマリコピー: 自宅、耐火金庫内。金属バックアップ推奨。
  • セカンダリコピー: 異なる物理的場所(貸金庫、信頼できる家族の家、別の物件)。紙または金属。
  • オプションの第3コピー: 金額がそれを正当化する場合、第3の場所。

やってはいけないこと

  • シードフレーズをデジタル保存しないでください(写真、テキストファイル、クラウドストレージ、シード自体のパスワードマネージャーすべて不可)。
  • フレーズを自分にメールで送信しないでください。
  • 他の人が見つける可能性のある共有場所に保管しないでください。
  • 紙のバックアップをラミネートしないでください(湿気が内部に閉じ込められる可能性)。

生成後のクリーンアップ

シードフレーズを安全に保管し検証した後、エアギャップ環境をクリーンアップしてください:

  1. ブラウザを閉じます。
  2. ライブUSBを使用している場合、単にシャットダウンします。RAMは電源オフ時にクリアされます。
  3. 専用オフラインノートパソコンを使用している場合、ブラウザデータをクリアします。
  4. シードフレーズの痕跡がメモリやディスクに残っていないと確信できるまで、デバイスをインターネットに接続しないでください。

これで、専用ハードウェアなしで達成可能な最高レベルのセキュリティで生成されたBitcoinシードフレーズが手元にあります。秘密鍵は、どんなに高度な攻撃者でもネットワークを通じて傍受できない環境で作成されました。適切な物理的保管と組み合わせることで、このアプローチはデジタル脅威の全範囲からビットコインを保護します。

他のブロックチェーンでも作業する方のために、SafeSeedはEthereumSolanaに対して同じオフライン生成機能を提供しています。エアギャッププロセスは同一で、導出パスとアドレス形式のみが異なります。Solanaウォレット生成ガイドでそのエコシステムの詳細を説明しています。