Hyperliquidウォレットセキュリティチェックリスト \[2026年更新\]

2026年1月26日

なぜこのチェックリストが2026年に重要なのか

DeFi(分散型金融)の中心的な約束は自己管理(Self-custody)ですが、それは同時にあなたがセキュリティの最前線であることを意味します。2025年末、Hyperdriveに関連する活動に紐づいた秘密鍵の漏洩により、あるトレーダーが約2,100万ドルを失ったと報じられました。これは、業界に(再び)警告を発しました。1つの鍵が侵害されると、あなたがこれまで講じてきた他のすべての安全策が無効になる可能性があるのです(Cointelegraph関連記事)。

同時に、オンチェーンの犯罪データは、詐欺が急速に拡大していることを示しています。Chainalysisの推定によると、2025年にはなりすましAIの活用によって、170億ドルが暗号資産詐欺や不正行為で盗まれました(Chainalysis)。アクティブなトレーダーにとって、実用的な教訓は単純です。あなたの最大の​​リスクはもはや「スマートコントラクトのバグ」だけではなく、フィッシング、偽のインターフェース、悪意のある署名、そして侵害されたデバイスなのです。

このチェックリストは、ウォレットを接続する前、担保を預ける前、または取引/ボットアクセスを承認する前に適用できるセキュリティのベストプラクティスと保護措置に焦点を当てています。

脅威モデル(何から防御するのか)

1) フィッシングと偽装ドメイン

攻撃者は、広告、SEO、偽のソーシャルアカウント、「サポート」になりすます手口をますます多用し、ユーザーをクローンサイトに誘導して、承認の署名や秘密情報の輸出を偽装させます。

2) リスキーな署名(ガスレスだから安全とは限らない)

多くのプラットフォームでは、利便性のため(例:「取引を有効にする」フロー)にガスレス署名を使用しています。署名は、支払いを伴うトランザクションではないからといって、自動的に安全になるわけではありません。

3) トークン承認と「ドレイナー」

無制限の許可(Token Approvals)は、サイトから「切断」した後でも、悪意のあるコントラクトが後であなたのトークンを消費することを可能にします。

4) ブラウザ拡張機能/エンドポイントの侵害

2025年、研究者たちは、暗号資産ユーザーを標的とする悪意のあるブラウザアドオンによって認証情報が盗まれたキャンペーンについて報告しました(TechRadarまとめ)。

5) API/エージェントウォレットからの漏洩

取引を自動化する場合、運用上の鍵管理がウォレットのセキュリティ体制の一部となります。公式ドキュメントには明確に警告されています:「秘密鍵を共有しないでください」(公式ドキュメント)。

セキュリティチェックリスト(すべての入金または取引セッションの前に使用してください)

1) 接続先を確認する(まずURL、次にウォレット)

  • 公式取引インターフェースをブックマークし、以降はブックマークからのみアクセスしてください:app.hyperliquid.xyz
  • 正しいドキュメントを読んでいることを確認してください(検索結果のランダムな「ガイド」は避けてください):公式ドキュメント
  • DMはデフォルトで敵対的なものとして扱ってください。「サポート」を名乗る人物がいても、それが証明されるまではなりすましだと想定してください(これはChainalysisのなりすまし調査結果とも一致します:Chainalysis).

簡単なルール: 広告やメッセージ内のリンクからアクセスした場合は、停止してブックマークから再オープンしてください。

2) 目的別に資金を分割する(影響範囲の制御)

少なくとも2つのアドレスを使用してください:

  • 取引ウォレット: dApps、署名、承認、自動化に公開しても許容できる額のみ。
  • 保管/貯蓄ウォレット: あまりどこにも接続しない長期保有資産。

この構造により、取引環境が侵害された場合の影響を限定できます。

3) メールベースのログインを使用する場合、秘密鍵のようにメールを保護する

メールアクセスに依存している場合、メールアカウントが制御プレーンとなります。最低限の強化策:

  • **多要素認証(MFA)**を有効にし、利用可能な場合はアプリベースまたはフィッシング耐性のある方法を優先してください(CISA MFAガイダンス)。
  • ユニークなパスワードとパスワードマネージャーを使用してください。
  • リカバリーコードはオフラインで保存してください。

より深い認証の厳格さを求める場合、NISTはパスワードと一般的なOTP(ワンタイムパスワード)方式はフィッシング耐性がないのに対し、暗号方式は耐性がある可能性があると指摘しています(NIST SP 800-63B認証情報)。

4) 鍵をオフラインに保つ(そして「ホット」環境は使い捨てにする)

ハードウェアウォレットは、鍵が日常使用するコンピューター上に存在する必要がないため、生の秘密鍵の盗難に対する最良の防御策の1つであり続けています。

OneKeyを長期保管に使用する場合、その鍵の利点はシンプルかつ実用的です:秘密鍵はデバイス上に留まり、トランザクションには物理的な確認が必要であり、マルウェアが秘密情報を静かに漏洩させる可能性を減らします。

重要な注意点:ハードウェアウォレットは、自分で署名した悪意のある承認から自動的に保護してくれるわけではありません(Revoke.cashによって説明された承認リスクを参照:Revoke.cash)。

5) すべての署名とトランザクションをセキュリティエンジニアのように読む

承認する前に:

  • 対話しているドメインを確認してください。
  • メッセージへの署名オンチェーントランザクションの送信かを確認してください。
  • 以下には注意してください:
    • 「セキュリティアップグレード」のプロンプト
    • 「ウォレットの検証」ループ
    • ページロード直後の予期しない署名リクエスト
    • 承認を求める「エアドロップ請求」ページ

ウォレットのプロンプトが不明瞭な場合は、キャンセルし、リフレッシュして、ブックマークから再オープンしてください。

6) トークン承認を継続的な負債と見なす(定期的に取り消す)

これを定期的なウォレットの衛生管理として実施してください:

ベストプラクティス:

  • カスタム金額で十分な場合は、無制限の承認を避けてください。
  • 機能の使用を終えた後、特にすぐに戻らない場合は、承認を取り消してください。
  • 悪意のあるものに署名した疑いがある場合、承認の取り消しは損害拡大防止策です(すでに盗まれた資金を回復することはできません)。

7) 取引の自動化を行う場合、「エージェントウォレット」をメインウォレットから分離する

ボットを実行したり、サードパーティーツールを接続したりする場合は、プライマリキーを公開しないでください。専用の署名キーを使用し、権限を最小限に抑えてください。

ドキュメントでは、マスターアカウントに代わって署名できる**APIウォレット(エージェントウォレット)**について説明しています(公式APIウォレットドキュメント)。実用的な保護策:

  • ボット/プロセスごとに個別のエージェントキーを生成してください(1つのキーをすべてで再利用しないでください)。
  • エージェントキーは、共有マシン上のプレーンテキスト.envファイルではなく、シークレットマネージャーに保存してください。
  • デバイスの侵害やチームアクセス変更後は、キーをローテーションしてください。
  • 使用されていないエージェントキーを削除/置換して、攻撃対象領域を減らしてください(アクティブなキーが少ないほど、侵入経路が少なくなります)。

8) ブラウザとデバイスを強化する(拡張機能もウォレットの一部)

悪意のあるアドオンが暗号資産ユーザーに影響を与えたという繰り返しの報告を受けて(TechRadar):

  • 暗号資産専用のブラウザプロファイルを使用してください。
  • 拡張機能は必要最小限(理想的には必須のもの以外はなし)にインストールしてください。
  • OSとブラウザは最新の状態に保ってください。
  • 悪意のある拡張機能が疑われる場合は、削除し、公式の報告/修正手順に従ってください(Mozillaガイダンス)。

9) 安全に入出金する(コピー&ペーストも攻撃対象になりうることを想定)

  • 新しいルートを使用する際は、少額のテスト金額から始めてください。
  • 画面上とウォレットの確認UIでアドレスを検証してください。
  • サードパーティのスクリーンショットではなく、公式のオンボーディング/ブリッジング手順に従ってください(公式オンボーディングガイド)。

10) インシデント対応計画を準備する(必要になる前に)

何かがおかしいと感じた場合(予期しない署名、不明な承認、「スタック」したままでプロンプトが表示され続けるUI):

  • 直ちに取引を停止してください。
  • 最近の承認を取り消してください(Revoke.cash / Etherscanチェッカー)。
  • 残りの資金を、あなたが管理するより安全なアドレス(できればコールドウォレット)に移動させてください。
  • デバイスが侵害された可能性があると想定し、続行する前にクリーンな環境に切り替えてください。

60秒で完了する取引前チェックリスト(コピー&ペースト用)

  • [ ] 検索/広告からではなく、ブックマークから取引サイトを開きましたか
  • [ ] ドメインとHTTPSを確認しましたか
  • [ ] 取引ウォレットには、公開してもよい金額だけが入っていますか
  • [ ] 前回のセッション以降、新しい拡張機能はインストールされていませんか
  • [ ] ウォレットのプロンプトを読みましたか:メッセージ署名かトランザクションか
  • [ ] 使用後、不要な承認を取り消しましたか

結び:あなたの暗号資産セキュリティをレベルアップするための実践的な方法

ほとんどの実際的な損失は、obscure (難解な)な暗号技術からではなく、運用上の失敗(フィッシング、承認、エンドポイントの侵害)から発生します。2026年に習慣として2つだけ採用するとしたら、以下の2つにしてください:

  1. 長期的な資金はコールドセットアップ(OneKeyのようなハードウェアウォレットは、秘密鍵を日常使用するマシンから離して保つのに役立ちます)で管理し、
  2. 承認と署名は継続的なリスクとして扱い、定期的に見直し、取り消すこと。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。