残高照会が全アドレスを晒す｜ライトウォレットと自前ノードの差

ウォレットアプリを開いて残高を確認する。その何気ない操作のたびに、あなたのIPアドレスと全ビットコインアドレスが、見知らぬサーバー運営者のログに記録されているかもしれない。

ライトウォレットは「誰か」に問い合わせている

ElectrumやSparrow Wallet、あるいはスマートフォン向けの多くのウォレットは「ライトウォレット」と呼ばれる種類のソフトウェアだ。動作が軽く、手軽にインストールできる反面、自分でブロックチェーンのデータを保有していない。

残高や取引履歴を確認するとき、ライトウォレットは外部のElectrumサーバーへ問い合わせを送る。デフォルト設定のままでは、接続先はパブリックサーバー——つまり、見知らぬ第三者が運営するサーバーだ。この事実に気づいているユーザーは、思いのほか少ない。

何が、誰に渡るのか

問い合わせの際、ウォレットはサーバーへ自分のアドレスを送信して残高を照会する。サーバー運営者の手元には次の情報が届く。

• あなたのIPアドレス（おおよその所在地に繋がる）
• ウォレット内の全アドレス一覧
• 各アドレスに紐づく残高と送受信履歴の全件

IPアドレスとビットコインアドレスが同時に記録される点が問題の核心だ。取引所でKYCを経て本名と住所を登録していれば、情報が連鎖して「誰がどこに住んでいて、いくらのビットコインを持っているか」が特定されうる状況が生まれる。

悪意のある運営者がすぐに何かをするとは限らない。しかし、それを「おそらく安全だろう」という根拠のない前提で流しているとすれば、ビットコインの設計思想とは真逆の行動を取っていることになる。「第三者を信頼しない」という原則が、接続先の選択においてまったく機能していない。

自前のノードが解決する

解決策はシンプルだ。Bitcoin Coreを自分のPCにインストールし、自前のフルノードを立てる。ウォレットの接続先をそこに向ければ、残高照会は自分のノードだけで完結する。第三者のサーバーにIPもアドレスも渡ることはなくなる。

Bitcoin Coreの初期同期には、約650GBのブロックチェーンデータのダウンロードが必要になる。一般的なインターネット環境では数日かかることもあるが、一度完了した後は差分の更新だけでよい。維持コストは電気代の数十円程度だ。2TBのHDDが数千円で手に入る現在、ストレージのハードルは想像より低い。

プライバシーは「隠す」ためではなく「守る」ため

「自分には隠すものがない」という感覚は理解できる。しかし、残高情報が外に出ることのリスクは、やましいかどうかとは無関係だ。

資産額が把握されれば、フィッシング詐欺やソーシャルエンジニアリングの標的になりやすくなる。2020年に発生したLedgerの顧客情報流出では約27万件の個人情報が外部に渡り、ユーザーへの脅迫事例が実際に報告された。情報が流出したあとで取り戻すことはできない。事前に不必要な情報を外へ出さないことが、唯一の防衛策になる。

プライバシーは特別な用途のためにあるのではなく、ビットコインの自己主権を実質的に担保するための基盤だ。秘密鍵を自分で持っていても、残高照会のたびに第三者へアドレスを送り続けているなら、それは完全なセルフカストディとは言えない。

まず、接続先を確認する

ElectrumもSparrow Walletも、接続先サーバーをカスタム指定できる設定項目を持っている。自前のBitcoin Coreノードを立ち上げたあと、その設定を変更するだけでよい。操作そのものは難しくない。

シードフレーズの保管、ハードウェアウォレットの導入、マルチシグの設定——そうした積み重ねがあっても、接続先のサーバーにアドレスを送り続けていれば、プライバシーの穴は残り続ける。秘密鍵の管理と、残高照会先の管理は、セットで考えるべき問題だ。

今使っているウォレットが、どのサーバーに繋がっているか。まず設定画面を開いてみることから始めてほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。