ビットコインシードフレーズ完全解説:あなたの資産を守るマスターキー
BIP-39エントロピー、HDウォレット導出(BIP-32/44/84)、パスフレーズ保護、金属バックアップまで — ビットコインシードフレーズの技術的な全貌を解説します。
2018年、カナダの暗号通貨取引所QuadrigaCXの創設者ジェラルド・コットンが、インド旅行中に突然亡くなりました。彼は約1億9000万ドル相当の顧客資産を管理するパスワードとシードフレーズを唯一知っていた人物とされています。その資金は二度と回収されませんでした。QuadrigaCX事件の真相がどうであれ — 陰謀論は数多くあります — この事件はビットコインの根本的な現実を示しています。シードフレーズは単なるパスワードではありません。それは所有権そのものです。失えばビットコインは実質的に消滅し、他人に知られればあなたの資産は他人のものになります。
本記事では、シードフレーズとは正確に何か、暗号学的レベルでどのように機能するか、なぜこのように設計されているか、そして火災・洪水・盗難・時間に耐えるようにどう保管すべきかを解説します。
シードフレーズとは
シードフレーズ — ニーモニックフレーズ、リカバリーフレーズ、バックアップフレーズとも呼ばれます — は、12個または24個の英単語の順序付きリストで、すべてのビットコイン秘密鍵を導出するマスターシークレットをエンコードしたものです。ウォレットがこれまでに生成したすべてのアドレス、そして将来生成するすべてのアドレスは、この単一の単語シーケンスから数学的に決定されます。
単語は、2013年にMarek PalatinusとPavol Rusnakが公開したBIP-39(Bitcoin Improvement Proposal 39)で定義された2,048個の標準英単語リストから選ばれます。このリストは、最初の4文字が同じ単語が存在しないように慎重に選定されており、書き写しミスの可能性を減らしています。例えば、「abandon」はリストにありますが「abandoned」はなく、「able」はありますが「ability」はありません。
12単語シードフレーズの例(絶対に使用しないでください — 公開されている既知のフレーズです):
abandon abandon abandon abandon abandon abandon abandon abandon abandon abandon abandon about
この特定のフレーズは、よく知られたテストベクトルに対応しています。この導出アドレスにビットコインを送信すると、ブロックチェーンをスキャンする自動化ボットによって数秒以内に盗まれます。
単語の背後にあるエントロピー
シードフレーズのセキュリティは、エントロピー(ランダム性)という数学的概念に基づいています — コンピュータで推測することが計算上不可能なレベルのランダム性です。
12単語フレーズ:128ビットエントロピー
12単語シードフレーズは128ビットのエントロピーをエンコードします。仕組みは以下の通りです:
- ウォレットの乱数生成器が128個のランダムビット(16バイト)を生成します。
- この128ビットのSHA-256ハッシュが計算され、ハッシュの最初の4ビットがチェックサムとして追加され、132ビットのシーケンスが作成されます。
- この132ビットシーケンスが各11ビットの12グループに分割されます。
- 各11ビットグループがBIP-39単語リストの1単語にマッピングされます(2^11 = 2,048語)。
結果:128ビットの真のランダム性と4ビットチェックサムをエンコードする12個の単語。
2^128はどれほど大きい数か? 約3.4 × 10^38 — 340澗通りの組み合わせです。具体的に理解すると:
- 観測可能な宇宙の原子数は約10^80個と推定されます。2^128はその平方根のかなりの割合です。
- 地球上の全人類(80億人)がそれぞれ10億台のコンピュータを運用し、各コンピュータが毎秒10億個のシードフレーズをチェックできたとしても、すべての可能性を列挙するには約1.35 × 10^12年 — 1兆年以上かかります。宇宙の年齢は約138億年です。
24単語フレーズ:256ビットエントロピー
24単語シードフレーズは256ビットのエントロピーをエンコードします。同じプロセスですが、256個のランダムビットと8ビットチェックサム(合計264ビット、24個の11ビットグループに分割)から始まります。可能な組み合わせ数は2^256 ≈ 1.16 × 10^77 — 熱力学的計算限界(ランダウアーの原理)で動作する仮想コンピュータでも総当たりが物理的に不可能な数です。
ほとんどのユーザーにとって、128ビットセキュリティ(12単語)で十分すぎるほどです。256ビットオプションは、主に理論的な量子コンピューティングの脅威(グローバーのアルゴリズムが有効ビットセキュリティを半減させ256ビットを128ビットにしますが — それでも破れないレベル)を含む、将来のコンピューティング進歩への備えとして存在します。
シードフレーズから秘密鍵へ:HDウォレット導出
シードフレーズが単一の秘密鍵しか生成できなければ、その有用性は大幅に制限されます。真の力はBIP-32で定義された階層的決定性(HD)ウォレット導出にあります。単一のシードから無制限のキーペアツリーを生成できます。
ステップ1:シードフレーズ → シード(BIP-39)
ニーモニック単語がオプションのパスフレーズとともにPBKDF2-HMAC-SHA512キーストレッチング関数に入力されます。この関数は2,048ラウンドのハッシュを実行して512ビットシードを生成します。キーストレッチングは意図的な設計です — ニーモニックに対するブルートフォース攻撃を計算コスト的により高価にします。
ステップ2:シード → マスターキー(BIP-32)
512ビットシードが「Bitcoin seed」というキーとともにHMAC-SHA512で処理され、以下を生成します:
- 256ビット:マスター秘密鍵
- 256ビット:マスターチェーンコード
チェーンコードは重要なコンポーネントです。各導出レベルで追加の256ビットのエントロピーを加え、子キーを知っても兄弟キーが明らかにならないことを保証します。
ステップ3:導出パス(BIP-44およびBIP-84)
HDウォレットは導出パスを使用してキーを階層構造に組織化します。パス形式は以下の通りです:
m / purpose' / coin_type' / account' / change / address_indexBIP-44(レガシーアドレス、1で始まる):
m/44'/0'/0'/0/0 → 最初の受信アドレス
m/44'/0'/0'/0/1 → 2番目の受信アドレス
m/44'/0'/0'/1/0 → 最初のお釣りアドレスBIP-84(ネイティブSegWitアドレス、bc1qで始まる):
m/84'/0'/0'/0/0 → 最初の受信アドレス
m/84'/0'/0'/0/1 → 2番目の受信アドレスBIP-86(Taprootアドレス、bc1pで始まる):
m/86'/0'/0'/0/0 → 最初の受信アドレスアポストロフィ(‘)は**強化導出(hardened derivation)**を示し、導出プロセスで秘密鍵を使用して、親公開鍵から子キーが導出されることを防ぎます。これは重要なセキュリティ機能です — 強化導出がなければ、攻撃者が単一の子秘密鍵と親公開鍵を入手した場合、親秘密鍵とすべての兄弟キーを計算できてしまいます。
なぜこれが重要か
導出が決定論的であるため、ウォレットは何千もの秘密鍵を保存する必要がありません。シードフレーズ(またはそこから導出された512ビットシード)のみを保存します。ウォレットソフトウェアを開くたびに、シードからすべてのキーを再導出します。これが12個または24個の単語だけで、まったく新しいデバイスでウォレットを復元できる理由です。
パスフレーズ:オプションの25番目の単語
BIP-39には、あまり活用されていないセキュリティ機能が含まれています:パスフレーズ(「25番目の単語」と呼ばれることもありますが、BIP-39リストの単語だけでなく、任意の文字列が可能です)。
パスフレーズを追加すると、PBKDF2キーストレッチング関数の「ソルト」として含まれます:
PBKDF2(mnemonic, "mnemonic" + passphrase, 2048, 512)重要なポイント:異なるパスフレーズはまったく異なるウォレットを生成します。 同じ12単語でパスフレーズ「alpha」を使用すると、パスフレーズ「bravo」を使用する場合やパスフレーズなしの場合とはまったく異なるキーが生成されます。「間違った」パスフレーズは存在しません — すべてのパスフレーズが有効な(ただし異なる)ウォレットを開きます。
パスフレーズの利点
-
もっともらしい否認可能性(Plausible Deniability):パスフレーズなしで少額のビットコインが入ったデコイウォレットを設定し、実際の保有分はパスフレーズの背後に保管できます。脅迫を受けた場合、シードフレーズを渡します。攻撃者は控えめな残高のウォレットを見るだけで、パスフレーズで保護されたウォレットが存在するかどうかを判断する方法はありません。
-
物理的盗難からの保護:誰かが金属シードバックアップを盗んでも、パスフレーズなしでは資金にアクセスできません。シードフレーズだけではデコイウォレットしか開きません。
-
二要素バックアップ:シードフレーズ(持っているもの、金属に保管)とパスフレーズ(知っているもの、記憶または別の場所に保管)が、バックアップの二要素システムを構成します。
パスフレーズのリスク
パスフレーズは諸刃の剣です:
- パスフレーズを忘れると、ビットコインは永久に失われます。 リセット機構は存在しません。
- 弱いパスフレーズ(「password123」など)は、攻撃者がシードフレーズを入手した場合、ブルートフォースで破られる可能性があります。強力でユニークなパスフレーズを使用してください — 理想的には6個以上のランダムな単語か20文字以上のランダムな文字。
- パスフレーズはシードフレーズとは別に バックアップする必要があります。両方を一緒に保管すると、セキュリティ上の利点が無効になります。
安全な保管方法
シードフレーズは2つの脅威から保護する必要があります:紛失(火災、洪水、ハードウェア障害、忘却)と盗難(物理的侵入、デジタル侵害、ソーシャルエンジニアリング)。理想的な保管ソリューションは両方を同時に防御します。
金属バックアップ
紙は脆弱です。233°C(華氏451度)で燃え、水に溶け、数十年で劣化します。大量のビットコインには金属バックアップが不可欠です。
スタンプ式スチールプレート(Cryptosteel Capsule、Blockplate、Billfodl、SeedPlate):これらの製品は、ステンレススチールやチタンプレートに個々の文字や単語をスタンプ、スライド、または彫刻できます。耐性のある条件:
- 火災:一般的な住宅火災は600~800°Cに達します。ステンレススチールの融点は約1,400°C、チタンは1,668°Cです。
- 浸水と腐食:316グレードのステンレススチールは海洋グレードで、海水腐食にも耐えます。
- 物理的衝撃:スチールプレートは建物の倒壊にも耐えます。
ビットコインセキュリティ研究者として知られるJameson Loppは、金属シードストレージ製品の広範なストレステストを実施しています。バーナー、酸、圧縮への暴露結果がjlopp.github.io/metal-bitcoin-storage-reviews/で公開されています。
分割バックアップ(シャミアの秘密分散)
上級ユーザーの場合、**シャミアの秘密分散(Shamir’s Secret Sharing, SSS)**を使用してシードを複数のシェアに分割できます。原本を復元するには最小閾値のシェアが必要です。例えば、2-of-3分割は3つのシェアを作成し、そのうちの任意の2つでシードを復元する方式です。シェアを地理的に分散した場所に保管できます — 1つは自宅に、1つは銀行の貸金庫に、1つは信頼できる家族に。
Trezor Model TとTrezor Safe 3は、独自の単語リストを使用してウォレットレベルでこの方式を実装するSLIP-39(シャミアバックアップ)をネイティブサポートしています。
警告:標準BIP-39シードフレーズの素朴な分割(例:1~12番目の単語を一枚の紙に、13~24番目の単語を別の紙に)を試みないでください。これは各半分のセキュリティをわずか64ビットまたは128ビットに低下させ、真の秘密分散スキームではありません。
絶対にしてはいけないこと
- シードフレーズを絶対に写真に撮らないでください。 写真はiCloud、Googleフォト、その他のクラウドサービスに自動同期されます。フォトライブラリが侵害されて全ビットコインを失った事例が複数あります。
- シードフレーズをコンピュータ、スマートフォン、ウェブサイトに絶対に入力しないでください。 シードフレーズを見ることができるべき唯一のデバイスは、初期設定またはリカバリー時のハードウェアウォレットだけです。
- パスワードマネージャーに絶対に保存しないでください。 パスワードマネージャーはパスワードには優れていますが、シードフレーズはパスワードではありません — マスターキーです。パスワードマネージャーが侵害されると(2022年にLastPassが侵害され、暗号通貨ユーザーからの後続の窃盗が発生しました)、すべてが露出します。
- メールで絶対に送信しないでください。 ほとんどのプロバイダーでメールは保存時に暗号化されていません。
- クラウドメモに絶対に保存しないでください(Apple Notes、Google Keep、Notion、Evernote)。これらは高セキュリティのシークレットストレージ用に設計されていません。
推奨保管戦略
ほとんどのビットコイン保有者にとって、以下の戦略が堅牢な保護を提供します:
- プライマリバックアップ:シードフレーズをステンレススチールプレートにスタンプします。自宅の金庫または安全な場所に保管します。
- セカンダリバックアップ:地理的に離れた場所に2枚目のスチールプレートを保管します — 銀行の貸金庫または信頼できる家族の安全な保管場所。
- パスフレーズ:強力なパスフレーズを暗記します。書き留めて、両方のシードバックアップとは別の3番目の場所に保管します。
- リカバリーテスト:大きな金額を送る前に、完全なリカバリーテストを実行します。ハードウェアウォレットをリセットし、シードフレーズを入力し、同じアドレスが生成されることを確認します。
よくある間違いとその回避法
間違い1:感染したデバイスでシードを生成
シードフレーズのセキュリティは、生成される瞬間の安全性と同等です。マルウェアに感染したコンピュータでソフトウェアウォレットを使ってシードを生成すると、マルウェアが生成の瞬間にシードをキャプチャする可能性があります。これがハードウェアウォレットが強く推奨される理由です — 独自のハードウェア乱数生成器を使用して内部でシードを生成し、シードがコンピュータに触れることはありません。
間違い2:ブレインウォレットの使用
「ブレインウォレット」は、ユーザーが選んだ暗記フレーズから導出されたシードまたは秘密鍵です。問題は:人間はランダム性を生み出すのが非常に苦手だということです。自分にとってユニークに思えるフレーズ(「うちの犬の名前はポチで1987年生まれ」)は、毎秒数百万の一般的なフレーズをテストする自動化ツールにとっては些末な推測対象です。2015年、ある研究者が歌詞、映画のセリフ、一般的なフレーズから生成されたブレインウォレットを数秒でクラックできることを実証しました。信頼できるハードウェアウォレットの暗号学的に生成されたランダム性のみを使用してください。
間違い3:バックアップの未検証
驚くほど多くのユーザーがシードフレーズを一度書き留め、保管し、検証しません。書き写しミスは一般的です — 単語が1つ間違っていたり順序が入れ替わっていたりすると、バックアップ全体が無用になります。シードを書き留めた後:
- 各単語をBIP-39単語リストと照合確認します。
- ハードウェアウォレットに「バックアップ確認」機能があれば使用します。
- 大きな資金を投入する前に、少額のビットコインで完全なワイプ・リストアテストを実行します。
間違い4:ビットコイン所有を公言する
最高の物理的セキュリティは秘匿性です。あなたが大量のビットコインを保有していることを誰も知らなければ、誰もあなたをターゲットにしません。これはソーシャルメディアにも当てはまります — ビットコインの保有量を投稿しない、ウォレット残高のスクリーンショットを共有しない、友人や家族にもビットコインの所有について議論する際は注意してください。5ドルレンチ攻撃(シードフレーズを引き出すために物理的暴力を脅す)は理論上の話ではありません — 繰り返し発生しています。
シードフレーズと相続
ビットコインの自己主権的な性質は、独特な遺産計画上の課題を生みます。シードフレーズを伝えずに亡くなると、ビットコインは永久に失われます — 銀行に保管されて請求を待つのではなく、本当に、永久に、アクセス不可能になります。
相続計画のアプローチがいくつかあります:
- 弁護士に預ける封書:シードフレーズ(またはシャミアシェア)を指示書とともに封筒に入れ、遺産弁護士に預けます。封書は死亡または能力喪失時にのみ開封されます。
- タイムロック付きマルチシグ:2-of-3マルチシグを作成し、1つの鍵は相続人が、1つは本人が、1つはタイムロックメカニズムが保持します。一定期間の非活動後、相続人が本人の鍵なしで資金にアクセスできます。
- 協調カストディサービス:CasaやUnchainedなどの企業がマルチシグカストディソリューションの一環として相続計画を提供しています。マルチキー設定で1つの鍵を保持し、死亡時の鍵移転のための法的・手続き的セーフガードを備えています。
核心原則:相続計画は生きているうちにテストしなければなりません。テストされていない相続計画は検証されていないバックアップです — 最も重要な瞬間に失敗する可能性があります。
哲学的基盤
オーストリア経済学の観点から、シードフレーズは貨幣の歴史上前例のないものを表しています:絶対的で偽造不可能な所有権。歴史を通じて、財産権は国家や制度の執行能力に依存してきました。金は没収される可能性がありました(1933年の大統領令6102がそうでした)。銀行口座は凍結される可能性があります。不動産は収用権によって差し押さえられる可能性があります。
シードフレーズは、暗記するかスチールに刻んで隠せば、所有者の協力なしには没収できません。これは真に、物理的に没収不可能な最初の財産形態です — ルートヴィヒ・フォン・ミーゼスやフリードリヒ・ハイエクが想像しなかったものの、個人の経済的主権における深遠な進歩として認識したであろう概念です。
これがシードフレーズのセキュリティが単なる技術的な演習ではない理由です。それは金融的自己主権の基盤です。それにふさわしく守ってください。
関連リソース
- ビットコインウォレットガイド — ニーズに合った正しいウォレット選択
- セルフカストディガイド — 自分の鍵を自分で管理すべき理由
- ビットコインセキュリティ完全ガイド — 包括的なセキュリティ戦略