Webウォレット vs モバイルアプリ:本当にKYC不要なのはどちら?
「KYC不要」という言葉は、さまざまなウォレット製品でよく使われます。しかし実際には、Webウォレットとモバイルアプリ型ウォレットの間には大きな違いがあります。見た目や利用端末が違うだけではなく、秘密鍵の保管場所、攻撃されやすいポイント、KYCが発生する条件など、重要な面でそれぞれ特徴があります。
この記事では、両者の違いをアーキテクチャの観点から整理し、どのような場面でどちらの形式が向いているのかを判断できるように解説します。
まず整理:どの「Webウォレット」が本当にKYC不要なのか
「Webウォレット」という言葉は、暗号資産業界では少し曖昧に使われています。まずは分類しておきましょう。
1. ブラウザ拡張ウォレット
OneKey や MetaMask のように、ブラウザ拡張機能として利用するタイプです。秘密鍵はローカルのブラウザストレージに暗号化されて保存され、ユーザー自身が管理します。非カストディアル型であるため、基本的にKYCは不要です。
2. Web版のカストディアルウォレット
中央集権型取引所(CEX)の「ウォレット」画面のように、Webブラウザからアクセスするタイプです。ただし、この場合の秘密鍵は取引所側が管理しており、ユーザーが持っているのはプラットフォーム上のアカウント権限です。通常、KYCが必要になります。
3. 純粋なWeb型の非カストディアルウォレット
MyEtherWallet のローカル署名モードのように、秘密鍵をブラウザ内で生成・利用し、サーバーに送信しないタイプです。通常はKYC不要ですが、利用のたびにキーファイルを読み込むなど、ユーザー側に高いセキュリティ習慣が求められます。
この記事で扱う「Webウォレット」は、主に1つ目のブラウザ拡張ウォレットを指します。そのうえで、モバイルアプリ型ウォレットと比較していきます。
核心の違い:秘密鍵はどこにあるのか
ブラウザ拡張でもモバイルアプリでも、非カストディアルウォレットであれば、秘密鍵はユーザー本人が保有します。違いは、秘密鍵を保存する物理的な環境と、攻撃を受けやすい場所です。
EIP-712 などの署名標準は、どちらの形式でも利用できます。ただし、ブラウザ拡張ウォレットはWebページと同じ利用環境にあるため、署名内容の表示やDAppとの連携がより直接的になりやすい傾向があります。
KYCが発生する条件:形式そのものは本質ではない
よくある誤解に、「Web版を使うとKYCが必要になるのでは」というものがあります。しかし、KYCが必要になるかどうかの本質は、次の点にあります。
あなたの資産を、ライセンスを持つ金融仲介業者が預かっているかどうかです。
FinCEN の規制ガイダンスでは、非カストディアルなソフトウェア提供者と、資金を取り扱うマネーサービス事業者は区別されています。前者はツールを開発・提供する立場であり、後者は資金を保有・管理する立場です。
つまり、ウォレットが非カストディアルである限り、ブラウザ拡張であってもモバイルアプリであっても、開発者は金融仲介者には該当しません。そのため、通常はKYCを実施する必要がありません。
EUの MiCA 規制も同様の考え方を採用しています。非カストディアルウォレットの提供者は、暗号資産サービスプロバイダー(CASP)とはみなされず、規制当局への登録やKYC手続きの対象にはなりません。
セキュリティ面の攻撃対象を比較する
ブラウザ拡張ウォレットの主なリスク
ブラウザは比較的オープンな実行環境です。そのため、ブラウザ拡張ウォレットには次のようなリスクがあります。
- 悪意あるDAppが危険な署名リクエストを出す可能性があります。ユーザーは署名内容を必ず確認し、フィッシングサイトに誘導されて不正な承認を行わないよう注意する必要があります。
- ERC-20トークンなどで、過度に広い承認(Approval)を与えてしまうリスクがあります。Revoke.cash は、危険な承認の見分け方や取り消し方を学ぶうえで参考になります。
- 悪意あるブラウザ拡張機能が干渉する可能性があります。有名ウォレットを装った偽の拡張機能が公開されるケースもあります。
モバイルアプリ型ウォレットの主なリスク
モバイルウォレットは、OSによるアプリ間の分離が比較的強い一方で、固有のリスクもあります。
- スマートフォンの紛失や盗難です。端末ロックが弱い場合、攻撃者がウォレットデータにアクセスしようとする可能性があります。
- 悪意あるアプリがクリップボードを監視し、コピーしたウォレットアドレスやシードフレーズを盗もうとする可能性があります。
- Chainalysis の調査でも示されているように、モバイルユーザーを狙ったソーシャルエンジニアリングは一般的です。攻撃者がサポート担当者を装い、シードフレーズの入力を促す手口があります。
どちらの形式でも、シードフレーズの安全な保管が最初にして最重要の防御線です。MetaMask のシードフレーズに関する説明資料も、この仕組みの重要性を理解するうえで参考になります。
オンチェーン取引での選び方
主な用途がオンチェーンのコントラクト取引、たとえば永久先物や現物DEXである場合、両者にはそれぞれ向いた使い方があります。
ブラウザ拡張ウォレットは、PCでの操作に向いています。画面が広く、注文価格、レバレッジ、スリッページ、ポジションサイズなどを細かく調整しやすいため、慎重な操作が必要な取引に適しています。dYdX などのプロトコルも、PC環境ではより充実したチャートや注文画面を提供しています。
一方、モバイルアプリ型ウォレットは、外出先でポジションを確認したり、急な相場変動時にすばやく決済したりする用途に向いています。
OneKeyウォレットは、ブラウザ拡張とモバイルアプリの両方を提供しています。内蔵された OneKey Perps を使うことで、どちらの端末からでもオンチェーンのデリバティブ市場にアクセスできます。秘密鍵は常にローカルで管理されるため、非カストディアルな利用体験を維持できます。
より高い安全性を重視する場合は、OneKey のハードウェアウォレットを「コールド署名」レイヤーとして組み合わせる方法もあります。日常的な確認や小さな操作はソフトウェア側で行い、大きな資金移動はハードウェアウォレットで確認することで、利便性と安全性のバランスを取りやすくなります。
WalletConnect:モバイルウォレットとWeb DAppをつなぐ仕組み
WalletConnect は、モバイルウォレットとWeb DAppを接続するための主要なプロトコルです。スマートフォンでQRコードを読み取ると、ウォレットとDAppの間に暗号化された通信チャネルが作られます。
署名リクエストはスマートフォン側に送られ、ユーザーはモバイルウォレット上で内容を確認して署名します。秘密鍵をブラウザ環境に渡す必要はありません。
この仕組みは、Web画面の操作性と、モバイル端末上での署名分離という2つの利点をある程度組み合わせたものです。
よくある質問
Q1:Web版の OneKey ウォレットはKYCが必要ですか?
いいえ、不要です。OneKeyウォレットは、ブラウザ拡張版もモバイルアプリ版も非カストディアル製品です。秘密鍵はユーザー本人が管理するため、本人確認手続きは必要ありません。
Q2:ブラウザ拡張とモバイルアプリを両方使う場合、どのシードフレーズを使うべきですか?
同じシードフレーズを使うこともできます。その場合、両方の端末で同じアカウントアドレスを管理できるため便利です。
ただし、どちらか一方の環境にセキュリティ上の問題があると、同じシードフレーズに紐づくすべてのアカウントに影響します。重要な資産は、ハードウェアウォレットと組み合わせて保護することを検討してください。
Q3:WalletConnectでDAppに接続すると、秘密鍵は漏れませんか?
通常、漏れません。WalletConnect の基本設計は、秘密鍵をウォレットの外に出さないことです。DAppは署名リクエストを送るだけで、署名はウォレット内で行われます。返されるのは署名結果であり、秘密鍵そのものは端末から出ません。
Q4:ブラウザ拡張ウォレットとモバイルウォレットで、ERC-20トークンの承認に違いはありますか?
仕組みとしては同じです。どちらも ERC-20 標準の Approve 関数に従います。
違いが出やすいのは表示方法です。一部のブラウザ拡張ウォレット、たとえば OneKey や Rabby は、承認前にシミュレーションを行い、リスクを強調表示することがあります。モバイル端末では表示が簡潔になりやすいため、ユーザー自身が承認額や対象コントラクトをより意識して確認する必要があります。
Q5:初心者にはどちらが向いていますか?
初心者には、モバイルアプリのほうがなじみやすい場合が多いです。一般的なスマートフォンアプリに近い操作感で、生体認証によるロック解除も使いやすいからです。
一方、ブラウザ拡張ウォレットはやや学習コストがありますが、PCでDAppを利用する場合には効率的です。まずは OneKey モバイルアプリから始め、慣れてきたら必要に応じてブラウザ拡張版を追加するのが現実的です。
まとめ:形式は手段であり、目的は自己管理です
Webウォレット、特にブラウザ拡張ウォレットと、モバイルアプリ型ウォレットは、どちらもKYC不要で利用できます。その理由は、どちらも非カストディアルな設計であり、秘密鍵をユーザー自身が管理するからです。
どちらを選ぶべきかは、主な利用シーンによって変わります。PCの大きな画面でDeFiプロトコルを細かく操作したいならブラウザ拡張が向いています。外出先でもすばやく資産やポジションを確認したいなら、モバイルアプリが便利です。
OneKey はブラウザ拡張とモバイルアプリの両方を提供しており、コードも完全にオープンソースです。さらに OneKey Perps が内蔵されているため、オンチェーン取引を行いたいユーザーは、ウォレット内からスムーズに取引環境へアクセスできます。
まずは公式ダウンロードページから、自分の利用スタイルに合う OneKey を選んでみてください。必要に応じて OneKey Perps を使い、秘密鍵を自分で管理しながらオンチェーン市場にアクセスできます。
リスクに関する注意: 本記事は情報提供のみを目的としており、金融、投資、法律に関する助言ではありません。暗号資産およびオンチェーンデリバティブ取引には非常に高いリスクがあり、市場変動によって元本を失う可能性があります。オンチェーンサービスを利用する前にリスクを十分に理解し、ご自身の状況に基づいて独立して判断してください。
