MetaMask、ウォレットアドレス使ったウェブサービスのログイン機能に対応 EIP-4361を実装

MetaMaskがEIP-4361を実装

暗号資産（仮想通貨）の自己管理型ウォレット「MetaMask（メタマスク）」は24日、EIP-4361を実装したことを発表した。

EIP-4361（Sign In with Ethereum）は、ウェブサービスの認証にウォレットアドレスを使用する機能。Gmailなどの中央集権的なIDに代わり、自己管理型のIDとしてウォレットアドレスを使用可能にする。

EIP-4361を実装しているdApps接続時のセキュリティ強化、及びフィッシング攻撃に対するユーザー保護につながる動きだ。

🦊MetaMask is now compatible with EIP-4361, aka Sign In with Ethereum!

This is part of our ongoing effort to make confirmations more legible to our community. Our implementation also offers a “domain binding” feature, which will detect signatures/approvals from malicious URLs. pic.twitter.com/2jkFRhLDsx

— MetaMask 🦊💙 (@MetaMask) March 23, 2023

通常、ウェブサイトはサービスにサインインする際、Gmailなどフリーメールを含む企業が管理するID（アイデンティティ）を使用してきた。

EIP-4361では標準化されたサインインワークフローを定義しており、ウェブサイト側としても専用のサインイン機能を実装することでウォレットアドレスを使用したログインは初めて利用可能になる。

多くのウォレットやウェブサイトがEIP-4361を採用することで、新しいインターネットとして注目されるWeb3（分散型ウェブ）サービスの拡大につながる可能性がある。2月には、主要なウォレットプロバイダー「Phantom」も、EIP-4361に相当するソラナ（SOL）ブロックチェーン版の標準を実装していた。

フィッシング攻撃のリスク軽減

MetaMaskは、ユーザーがフィッシング攻撃の危険に晒されているかどうか判断するのに、EIP-4361が役立つと主張している。

By integrating Sign-In with Ethereum, MetaMask also now adds additional phishing protection.

If what you're signing doesn’t match the website you’re on, you'll see a clear warning it might be a phishing attempt. pic.twitter.com/77BmM7OwRh

— Spruce (we're hiring) (@SpruceID) March 23, 2023

EIP-4361実装におけるMetaMaskのパートナー企業SpruceIDによると、サインイン先が過去に登録したウェブサイトと一致しない場合、「フィッシングのリスクがある」という警告が表示されるという。

この仕組みは、悪意のあるサイトからの不正なアクセスから保護するために正しいドメイン名を確認する「ドメインバインディング（domain binding）」という機能により実現する。ドメインバインディングは、Webサーバーで使用されるセキュリティ機能の1つで、特定のドメイン名にSSL証明書をバインドすることによって、そのドメインに対してのみ安全な通信を行うことを保証する。

インターネットの世界では、長年にわたりなりすましメール・アカウントによるセキュリティ侵害が多発。仮想通貨市場においても一般的なフィッシング詐欺の手口として横行してきた。

関連：高額NFT「BAYC」のディスコードでフィッシング詐欺発生　ユーザーに注意喚起

ドメイン名システム（DNS）の乗っ取りによって偽サイトへの誘導を行い、個人情報などを不正に取得する「DNSハイジャック」についても、DeFi（分散型金融）のウェブサイト等で発生していた。

関連：DeFi大手「Curve」でDNSハッキング被害の可能性　7,500万円相当のETHが不正流出か