MetaMask、ウォレットアドレス使ったウェブサービスのログイン機能に対応 EIP-4361を実装
MetaMaskがEIP-4361を実装
暗号資産(仮想通貨)の自己管理型ウォレット「MetaMask(メタマスク)」は24日、EIP-4361を実装したことを発表した。
EIP-4361(Sign In with Ethereum)は、ウェブサービスの認証にウォレットアドレスを使用する機能。Gmailなどの中央集権的なIDに代わり、自己管理型のIDとしてウォレットアドレスを使用可能にする。
EIP-4361を実装しているdApps接続時のセキュリティ強化、及びフィッシング攻撃に対するユーザー保護につながる動きだ。
通常、ウェブサイトはサービスにサインインする際、Gmailなどフリーメールを含む企業が管理するID(アイデンティティ)を使用してきた。
EIP-4361では標準化されたサインインワークフローを定義しており、ウェブサイト側としても専用のサインイン機能を実装することでウォレットアドレスを使用したログインは初めて利用可能になる。
多くのウォレットやウェブサイトがEIP-4361を採用することで、新しいインターネットとして注目されるWeb3(分散型ウェブ)サービスの拡大につながる可能性がある。2月には、主要なウォレットプロバイダー「Phantom」も、EIP-4361に相当するソラナ(SOL)ブロックチェーン版の標準を実装していた。
Web3とは
現状の中央集権体制のウェブをWeb2.0と定義し、ブロックチェーン等を用いて非中央集権型のネットワークを実現する試みを指す。代表的な特徴は、仮想通貨ウォレットを利用したdAppsへのアクセスなど、ブロックチェーンをはじめとする分散型ネットワークのユースケースがある。
▶️仮想通貨用語集
フィッシング攻撃のリスク軽減
MetaMaskは、ユーザーがフィッシング攻撃の危険に晒されているかどうか判断するのに、EIP-4361が役立つと主張している。
EIP-4361実装におけるMetaMaskのパートナー企業SpruceIDによると、サインイン先が過去に登録したウェブサイトと一致しない場合、「フィッシングのリスクがある」という警告が表示されるという。
この仕組みは、悪意のあるサイトからの不正なアクセスから保護するために正しいドメイン名を確認する「ドメインバインディング(domain binding)」という機能により実現する。ドメインバインディングは、Webサーバーで使用されるセキュリティ機能の1つで、特定のドメイン名にSSL証明書をバインドすることによって、そのドメインに対してのみ安全な通信を行うことを保証する。
インターネットの世界では、長年にわたりなりすましメール・アカウントによるセキュリティ侵害が多発。仮想通貨市場においても一般的なフィッシング詐欺の手口として横行してきた。
関連:高額NFT「BAYC」のディスコードでフィッシング詐欺発生 ユーザーに注意喚起
ドメイン名システム(DNS)の乗っ取りによって偽サイトへの誘導を行い、個人情報などを不正に取得する「DNSハイジャック」についても、DeFi(分散型金融)のウェブサイト等で発生していた。
関連:DeFi大手「Curve」でDNSハッキング被害の可能性 7,500万円相当のETHが不正流出か
フィッシング詐欺とは
偽サイトに誘導するなどして利用者を騙し、認証情報や個人情報を詐取するサイバー犯罪のこと。電子メールにより不正サイトへ誘導し、利用者自身にサイトログインに必要なアカウントやパスワードなどの認証情報を入力させて詐取するもの。
▶️仮想通貨用語集
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します