Moneroハードウェアウォレットのパスフレーズ設定ガイド
Moneroハードウェアウォレットのパスフレーズ設定ガイド
2024年2月にBinanceがMoneroを上場廃止し、同年後半にはKrakenがMiCAの圧力を受けて欧州の顧客向けにXMRの取り扱いを取りやめました。その数週間のあいだに、世界中の何十万人もの保有者が同じ行動を取りました。コインを取引所から引き上げ、自己管理(セルフカストディ)へと移したのです。日本では事情はさらに進んでいます。2018年に金融庁が国内の登録交換業者にプライバシー系コインの取り扱い見直しを促して以降、Moneroは日本の登録取引所では実質的に扱われなくなりました。つまり日本の保有者にとって、XMRを手元で安全に管理することは「いつかやるべきこと」ではなく、最初から避けて通れない前提になっています。
その移転先として真っ先に挙がるのがハードウェアウォレットです。しかし、LedgerやTrezorを挿してPINを決めるだけでは作業の半分しか終わっていません。多くの人が飛ばしてしまうのがパスフレーズ — 一つのリカバリーシードを無数の隠しウォレットへと枝分かれさせる、任意の追加シークレットです。これを設定していなければ、あなたの24個のバックアップ単語を見つけた者は資金そのものを手にします。逆に設定してあれば、その単語だけでは盗人にとってほとんど無価値になります。
この記事では、Moneroのハードウェアウォレットにおいてパスフレーズが実際に何をしているのか、なぜPINとは根本的に違うのか、そして自分を永久に締め出すことなく設定する方法を順を追って説明します。MoneroSwapperのようなノーKYCのサービスでXMRを入手し、そのプライバシーを保ちたいと考えているなら、パスフレーズは「どこかにバックアップはある」と「盗人にとって本当に無意味なバックアップがある」を分ける決定的な一手です。所要時間はおよそ15分。そして、後戻りのきかない、たった一つの非常に慎重な判断が必要になります。一度きちんと整えてしまえば、その後の運用はずっと楽になります。
パスフレーズ・PIN・シードの違い:あなたが本当に守っているもの
この三つの用語はネット上でしばしば同じ意味で使われますが、その混同は危険です。守る対象も、壊れ方もまったく異なります。ここを正しく整理することが、安全な設定の土台のすべてです。
- PIN: 物理デバイスのロックを解除する短い暗証番号(通常4〜8桁)です。ハードウェアを盗んだ者がその場ですぐ使うのを防ぎ、ほとんどの機種は一定回数間違えると自動的に内容を消去します。PINはデバイスの外に出ることはなく、暗号鍵の一部ではありません。シードを別の場所で復元すれば、古いPINはまったく関係なくなります。
- リカバリーシード: 24単語(BIP39)あるいは12/20/33単語(SLIP-39 / Shamir)のバックアップで、これそのものがあなたのウォレットです。この単語を手にした者は、Moneroの送金鍵(スペンドキー)と閲覧鍵(ビューキー)を含む内部のすべての鍵を再生成できます。これこそが王冠の宝石であり、パスフレーズが堅牢化する対象もまさにこれです。
- パスフレーズ: 「25番目の単語」や「隠しウォレット」とも呼ばれる追加のシークレットで、シードに混ぜ込むことでまったく別のウォレットを導出します。パスフレーズが空なら一つのウォレットが、何か文字列を入力すれば完全に独立した別のウォレットが生成されます。これはデバイスに保存されないため、ハードウェアからは一切抽出できません。
頭の中のモデルとしてはこうです。PINは扉を守り、シードは金庫の鍵であり、パスフレーズはその鍵がそもそもどの金庫を開けるかを切り替えます。シードの単語は手に入れたがパスフレーズは知らない盗人は、まったく見当違いの金庫の前で立ち尽くすことになります。
BIP39パスフレーズが隠しMoneroウォレットを生成する仕組み
パスフレーズがこれほど強力な理由は、シードがどのようにして秘密鍵になるかにたどり着きます。ハードウェアウォレットは、Monero本来の25単語のニーモニックシードを直接保存してはいません。代わりにBIP39シードを保持し、そこからMoneroの鍵を必要に応じて導出します。同じLedger一台でBitcoin、Ethereum、Moneroを並行して動かせるのはこのためです。
計算の中身を一段落で
BIP39は、あなたのニーモニックとパスフレーズをPBKDF2(HMAC-SHA512)に投入し、2048回繰り返して512ビットのバイナリシードを生成します。パスフレーズはソルトに連結されるため、たった一文字を変えること — パスフレーズが無かったところに付け加える、あるいは打ち間違いを直す — だけで、数学的にまったく無関係なシードが生まれ、結果として別のMonero送金鍵と閲覧鍵が導出されます。「だいたい合っている」という概念は存在しません。Tabby7! と tabby7! は、共通点が一切ない二つのウォレットを開きます。
この性質は、この機能に復旧手段が一切ない理由でもあります。デバイスは正しいパスフレーズと間違ったパスフレーズを区別できません。どちらも一見正常なウォレットを導出するからです。間違った文字列を入力すれば、コインを一度も保有したことのない空のウォレットに着地するだけです。何も入力しなければ、あなたの「標準」ウォレットに入ります。
否認可能性とデコイウォレット
ここでパスフレーズは、単なる二つ目のパスワードを超えて、プライバシーのための道具になります。空パスフレーズのウォレットは完全に機能するため、そこに少額の本物の残高を置いてデコイ(おとり)として使えます。本気の保有分は、あなただけが知るパスフレーズの背後に置くのです。
ステルスアドレス、RingCT、CLSAGがオンチェーンで残高や取引相手をすでに隠しているMoneroのようなコインにとって、パスフレーズは最後の隙間 — 物理的な強要 — を埋めます。デバイスのロック解除を迫る攻撃者が目にするのはデコイであり、隠しウォレットではありません。しかも二つ目のウォレットが存在するという証拠はデバイス上に一切残りません。Moneroの代替可能性(ファンジビリティ)と組み合わさることで、これは自己管理で到達しうる「否認可能なお金」に最も近い状態です。ホスト側では、書き出した閲覧鍵から作られる閲覧専用ウォレットがMonero GUIにチェーンの走査を許す一方(2022年のアップグレードで導入されたview tagsにより、これは格段に速くなりました)、送金鍵はデバイスの中に封印されたままです。
Ledger と Trezor:パスフレーズの扱いを比較する
主要なハードウェアウォレットの二大系統はどちらもMoneroに対応し、どちらもパスフレーズに対応していますが、作業の流れには見過ごせない違いがあります。Ledger LiveがネイティブのMonero管理から手を引いて以降、Ledgerユーザーの多くはデバイスをFeather Walletや公式のMonero GUI/CLIと組み合わせています。Trezorは直接Monero GUI/CLIに接続します。
| 項目 | Ledger(Nano S Plus / X / Stax / Flex) | Trezor(Model T / Safe 5) |
|---|---|---|
| Moneroとの連携 | Moneroアプリ + Feather または Monero GUI | Monero GUI / CLI |
| シード規格 | BIP39、24単語 | BIP39 または SLIP-39(Shamir) |
| パスフレーズ入力 | デバイス上またはホスト上(選択可) | デバイスのタッチ画面またはホスト上 |
| 隠しウォレット | 無制限、パスフレーズ1つにつき1つ | 無制限、パスフレーズ1つにつき1つ |
| ブラインド署名のリスク | 画面でアドレスを確認 | 画面でアドレスを確認 |
最も重要な列は「パスフレーズ入力」です。デバイス本体でパスフレーズを入力するということは、それがパソコンのキーボードやメモリに一切触れないということであり、キーロガーやクリップボード監視を無力化します。ホスト側での入力は速く、長い文字列にも対応できますが、信頼できるマシンでのみ行ってください。Moneroに関しては特に、何かを送る前に必ず受け取り用のサブアドレスをハードウェアの画面で検証してください。デバイスがアドレスを表示してくれることが、乗っ取られたホストがアドレスをすり替える攻撃に対する唯一の防御です。
パスフレーズ保護されたMoneroウォレットのセットアップ手順
正確なメニューの表記は機種やファームウェアのバージョンによって異なりますが、手順の流れはどのデバイスでも同じです。これはオフラインで、人目のない場所で、カメラが視界に入らない状態で行ってください。
- まずファームウェアを更新する。 鍵に触れる前に、デバイスを接続し、公式アプリ(Ledger LiveまたはTrezor Suite)から最新のファームウェアを適用します。古いファームウェアは、過去にパスフレーズやMoneroアプリの修正を取りこぼしていたことがあります。
- デバイスを初期化し、シードをバックアップする。 デバイス上で新しい24単語のリカバリーシードを生成し、紙またはスチールプレートに書き写します。このシードがあなたの標準(パスフレーズなし)ウォレットです。求められたらデバイス上で確認します。決して写真を撮ったり、パソコンに打ち込んだりしないでください。
- パスフレーズ機能を有効にする。 デバイスの設定で「パスフレーズ」をオンにします(Ledgerは一時的または添付パスフレーズと呼び、Trezorは「パスフレーズ / 隠しウォレット」と表記します)。これ以降、ロック解除のたびにパスフレーズを尋ねられるか、標準ウォレット用にスキップする選択肢が提示されます。
- 入力方法を選ぶ。 安全性を最大化するならデバイス上での入力を選びます。ホスト入力は、信頼できるパソコンでの長いパスフレーズに限って使ってください。
- パスフレーズを入力して隠しウォレットを開く。 強固でありながら記憶できるものを選びます。再現できないパスフレーズは永遠に失われます。うろ覚えになりがちな引用句は避け、大文字小文字を混ぜ数字を含んだ私的なフレーズが望ましいでしょう。デバイスはそこから真新しいMoneroウォレットを導出します。
- Moneroのウォレットソフトに接続する。 FeatherまたはMonero GUIを開き、「ハードウェアデバイス」を選び、書き出した閲覧鍵から閲覧専用ウォレットを作成させます。プライマリアドレスとサブアドレスが生成されます。
- 受け取りアドレスをデバイスの画面で検証する。 受け取りアドレスを生成し、最初と最後の数文字がデバイスの表示とソフトの表示で一致することを確認します。まずは少額のテスト送金から始めてください。
- パスフレーズを別に保管する。 パスフレーズはシード単語とは物理的に別の場所に保管します。両方そろえばすべてが解錠されますが、離れていればどちらも単独では足りません。そのうえで、一度デバイスを消去して復元し、バックアップが本当に機能することを証明してください。
「パスフレーズをお忘れですか」というリンクも、サポート窓口も、あなたを救うブルートフォースツールも存在しません。パスフレーズを失うとは、その背後のコインが数学的に回復不能になるということです。その文字列のバックアップは、シードそのものと同じくらい真剣に扱ってください。
現実のシナリオ:渡航と強要(デュレス)への備え
よくある状況を考えてみましょう。入国地点で当局が電子機器のロック解除を要求でき、拒めば拘束や入国拒否につながりうる国境を越えるとします。日本から海外へ出る際、あるいは帰国時の税関でも、デバイスの中身を問われる可能性はゼロではありません。単一ウォレットの構成では、ロックを解除した時点ですべてを引き渡すことになります。パスフレーズがあれば、解除するのはデコイウォレット — ささやかな額を保有する、本物で動く実用のMoneroウォレット — であり、パスフレーズの背後の隠しウォレットは見えません。フォルダも、二つ目のアカウントのアイコンも存在せず、開示すべきものは何もありません。デバイス上の何ものも、それが存在することを示さないからです。
脅威研究者はこれを「5ドルのレンチ攻撃」と呼びます。強固な暗号を破る最も安価な方法は、鍵を持つ人間を強要することだ、という意味です。パスフレーズは強要そのものを止めはしませんが、貯蓄を晒すことなく要求を満たすために差し出せる「何か」を与えてくれます。セキュリティの専門家やElectronic Frontier Foundationのような団体は、機微なデータを携えて国境を越える人々に対し、まさにこの種の区画化(コンパートメント化)を長年にわたって助言してきました。
同じ理屈は自宅にも当てはまります。空き巣があなたのスチール製シードプレートを盗んでも、その24単語はデコイしか復元しません。あなたの本当の保有分 — たとえば定期的なノーKYCのスワップを通じて積み上げてきたXMR — は、同じ場所には決して書かれていないフレーズの背後にロックされたままです。その分離こそがすべての要点です。一つのシークレットへの物理的なアクセスが、あなたのお金への物理的なアクセスになってはならないのです。
日本のユーザーが押さえておくべき規制と入手の現実
日本でMoneroを扱う際、欧米の記事がそのまま当てはまらない点が一つあります。それは入手の入り口です。金融庁が2018年にプライバシー系コインへの懸念を示して以降、Coincheckをはじめとする国内の登録交換業者はMonero、Dash、Zcashといった匿名性の高い銘柄の取り扱いを取りやめました。その結果、日本に居住する保有者が国内の登録取引所でXMRを直接購入する正規ルートは、現在ほぼ存在しません。
これは、日本のユーザーにとって自己管理とパスフレーズの設定が「上級者向けの追加対策」ではなく、入手の段階から織り込んでおくべき基本動作であることを意味します。海外プラットフォームやノーKYCのスワップサービスで入手したXMRは、いずれにせよ自分のウォレットへ引き出すことになります。だとすれば、その引き出し先を最初からパスフレーズ保護された受け取りアドレスにしておくのが筋が通っています。入手・保管・利用の全工程でプライバシーを保つなら、入り口で身元を渡さず、出口で隠しウォレットへ直接送る、という一貫した流れが理想です。
税務の扱いも誤解されがちです。日本では暗号資産の売却益や交換益は原則として雑所得に区分され、国税庁の指針に沿って申告対象になります。パスフレーズや隠しウォレットは盗難・強要に対する防御策であって、納税義務を消すものではありません。プライバシーの確保と、適法な申告は両立するものとして扱ってください。技術的な秘匿性は、自分の身を守るためのものであり、義務の回避を正当化するものではありません。
パスフレーズのバックアップと運用のベストプラクティス
パスフレーズの失敗のほとんどは、設定そのものではなく、その後の保管と運用で起こります。ここでは、長く使い続けるために実務上効く考え方をいくつか挙げます。どれも特別な道具を必要とせず、規律の問題です。
- 「思い出せる」と「再現できる」を混同しない。 設定直後は鮮明に覚えていても、数か月後にはあいまいになります。大文字小文字、空白、記号の有無まで含めて、完全に同じ文字列を再現できるかどうかが本質です。曖昧さの余地があるフレーズは、いずれ資金を失う種になります。
- シードとパスフレーズを地理的に分ける。 同じ引き出しや同じ金庫に両方を入れるなら、パスフレーズの意味は半減します。一方を自宅、もう一方を信頼できる別の保管場所に分けることで、一度の物理的侵入では片方しか奪われない構成になります。
- 「忘れる前提」のヒントは慎重に。 パスフレーズを直接書き残すか、自分にしか解けないヒントだけを残すかは、脅威モデル次第です。強要を主に想定するなら、ヒントすら手がかりになり得ます。盗難・紛失を主に想定するなら、別の安全な場所への直接の控えのほうが現実的です。
- 移すのは復元テストの後。 まとまった額を送る前に、必ず一度デバイスを消去して、シードとパスフレーズだけで隠しウォレットを復元できることを確かめます。残高が表示されてはじめて、そのバックアップは信頼に値します。
- 受け取りアドレスは毎回画面で確認する。 ハードウェアの最大の利点は、アドレスを画面に表示してくれることです。乗っ取られたパソコンがアドレスをすり替えても、デバイスの表示と突き合わせれば見抜けます。この一手間を省かないでください。
運用が複雑になりすぎると、人はショートカットを探し始めます。それが事故のもとです。パスフレーズは一つに絞り、確実に再現できる強いものを選び、その控えをシードと分けて保管する — このシンプルな三点を守るだけで、現実の脅威の大半は外れます。凝った仕組みより、守り続けられる仕組みのほうが安全です。最後にもう一点。設定を終えたら、半年に一度ほど復元手順を頭の中でなぞり直す習慣をつけてください。保管場所を変えたり、パスフレーズを更新したりした場合は特にそうです。バックアップは「作って終わり」ではなく、時間とともに陳腐化しないかを定期的に点検する対象です。一度確かめた手順でも、記憶や保管環境は静かに変化していきます。
デコイウォレットを「本物らしく」保つ
パスフレーズによる否認可能性は、デコイ(標準ウォレット)が信じられるものでなければ機能しません。空パスフレーズのウォレットの残高がゼロだったり、一度も使われた形跡がなかったりすると、強要する側に「本命は別にある」と勘づかせる材料を与えてしまいます。少額でも実際に動いているウォレットのほうが、はるかに自然です。
具体的には、デコイに失っても困らない程度の額を入れ、時折そこへ送受信を行って取引履歴を作っておきます。誰かに見せることになっても不自然でない、ささやかだが実在する財布 — それがデコイの理想です。一方で、本命の隠しウォレットの存在を匂わせるメモやラベルをデバイスやパソコンに残さないでください。区画化の価値は、二つ目が存在するという手がかりがどこにもないことから生まれます。
この発想はMoneroと特に相性が良いと言えます。RingCTとステルスアドレスによって、オンチェーンではどのウォレットも互いに結びつきません。つまりデコイと隠しウォレットが同じデバイス由来であることを、外部の観測者がチェーン上から突き止める手段がないのです。物理的な区画化と、Moneroの暗号的なプライバシーが二重に重なって、はじめて「見せられる財布」と「見せない財布」が成立します。
強いパスフレーズの選び方:長さ・記憶・落とし穴
パスフレーズは強ければ強いほど安全ですが、強さと記憶のしやすさはしばしば対立します。ここで失敗すると、攻撃者に破られるか、自分で締め出されるかの両極端に振れます。狙うべきは、その中間 — あなたには確実に再現でき、他人には推測しにくい一点です。
長さは何よりも効きます。短くて複雑な文字列より、長くて意味のある私的なフレーズのほうが、推測にもブルートフォースにも強くなります。たとえば自分だけが知る出来事や場所を組み合わせ、そこに大文字小文字と数字を混ぜると、覚えやすさを保ったまま桁違いに強くなります。逆に、有名な歌詞や名言は避けてください。攻撃者が試す辞書に含まれているうえ、句読点や表記ゆれをうろ覚えにしやすく、自分でも再現に失敗しがちです。
もう一つの落とし穴は、複数のパスフレーズを乱発することです。隠しウォレットは無制限に作れますが、増やすほど「どれがどれか」を取り違える危険が高まります。日常用に一つ、長期保管用にもう一つ、といった具合に数を絞り、それぞれを確実に再現できる範囲に留めるのが現実的です。凝った構成よりも、何年経っても間違えない構成のほうが、結局は資金を守ります。
デバイスを失くした・壊したときに何が起きるか
ハードウェアウォレットそのものは消耗品だと考えてください。重要なのは中身ではなく、シードとパスフレーズという二つのシークレットです。デバイスが水没しても、踏みつぶされても、空港で没収されても、資金はデバイスの中に閉じ込められているわけではありません。同じシードとパスフレーズを新しいデバイス、あるいはFeatherのような互換ソフトに入力すれば、隠しウォレットはそのまま復元されます。
裏を返せば、デバイスの紛失そのものは脅威モデルの中心ではありません。本当の脅威は、シードとパスフレーズが同時に第三者の手に渡ることです。だからこそ、この二つを物理的に分けて保管する規律が効いてきます。デバイスが壊れたときに慌てて両方を一か所に出してきてしまう — そうした「緊急時の油断」こそが、平時の慎重さを台無しにします。新しいデバイスへの移行も、人目のないオフラインの環境で、落ち着いて行ってください。
よくある質問(FAQ)
Moneroのパスフレーズは25単語のシードと同じものですか?
いいえ。Monero独自のソフトは25単語のニーモニックを使いますが、ハードウェアウォレットはBIP39の24単語シードを使い、そこからMoneroの鍵を導出します。パスフレーズはその24単語の上に追加されるシークレットです。「25番目の単語」という通称は、BIP39のパスフレーズ一般を指すものであって、Monero本来の25単語形式を指すものではありません。両者は紛らわしい用語をたまたま共有している、別々のシステムです。
パスフレーズを忘れたらどうなりますか?
その隠しウォレットの中の資金は永久にアクセス不能になります。PINと違い、パスフレーズは鍵の導出そのものの一部なので、リセットも復旧サービスも存在しません。だからこそ、パスフレーズはシードとは別の安全な場所にバックアップし、まとまった額を移す前にデバイスの完全な復元テストを行うべきなのです。
隠しウォレットを持っていることが他人にわかりますか?
デバイスからはわかりません。ハードウェアウォレットは、パスフレーズが使われたことを示すものを一切保存しませんし、空パスフレーズのウォレットは完全に普通に見えます。オンチェーンでも、Moneroのリング署名、ステルスアドレス、RingCTにより、観測者はあなたのアドレスを結びつけることも残高を見ることもできません。これこそがパスフレーズを本物の否認可能性の道具にしている要因です。
パスフレーズはデバイスとパソコンのどちらで入力すべきですか?
可能な限りデバイス上です。ハードウェアで入力すれば、パソコンのキーボード、メモリ、クリップボードから遠ざけられ、それを捕らえようとするマルウェアを無力化できます。完全に信頼できるマシンでの非常に長いパスフレーズに限ってはホスト入力も許容できますが、それは弱い選択肢です。
同じデバイスで複数の隠しウォレットを使い分けられますか?
はい。パスフレーズを変えるたびに、それぞれ独立した別のウォレットが導出されます。一つのデバイスで、空パスフレーズの標準ウォレット、日常用のパスフレーズ付きウォレット、長期保管用のもう一つ、といった使い分けが可能です。ただし数を増やすほど取り違えや失念の危険も増えるため、それぞれを確実に再現できる範囲に絞るのが賢明です。どのウォレットも、正しいパスフレーズを入力したときだけ姿を現します。
パスフレーズを使うとMoneroウォレットは遅くなりますか?
ハードウェア連携のMoneroウォレット一般と変わりません。チェーンの走査は閲覧鍵とノードに依存し、パスフレーズには依存しません。2022年のview tagsアップグレードがすでに走査時間を劇的に短縮しています。パスフレーズが影響するのはどの鍵が導出されるかだけであって、いったん開いた後の同期の速さではありません。
まとめ
ハードウェアウォレットは、オンラインの盗人からあなたのMoneroを守ります。パスフレーズは、バックアップを手にした者からそれを守ります。設定そのものは短時間で済みます — ファームウェアを更新し、シードをバックアップし、パスフレーズを有効にし、アドレスを検証し、二つのシークレットを離して保管する — しかし、その周りの規律がすべてです。バックアップを正しく行い、実際の価値を預ける前に復元テストを行ってください。パスフレーズを破られないものにしているのと同じ数学が、忘れられたパスフレーズを回復不能にもするからです。
プライバシーを保ったまま資金をこの構成へ移すなら、入手から保管までの鎖をすべて私的に保ってください。身元を渡さずにXMRを入手し、それをデバイス上で検証したパスフレーズ保護の受け取りアドレスへ直接送るのです。MoneroSwapperを使えば、アカウントもKYCもなしにMoneroを匿名で購入し、隠しウォレットへ直接送り、オンチェーンでは私的で、ポケットの中では否認可能なコインを手にできます。入り口で身元を渡さず、出口で検証済みのアドレスへ送る — この一貫した流れこそが、技術と規律の両輪でプライバシーを守る最も確実な道筋です。
🌍 他の言語で読む