カーラ、ほとんどデジタルセキュリティのやってはいけないことのマニュアルのような話を見た。韓国の国税庁が先週、壮大な漏洩を起こしたんだけど、最悪なのはそれが完全に防げたことだ。

基本的に、彼らは未払いの納税者に対する捜査の一環でハードウェアの暗号通貨ウォレットを押収した。そこまでは普通だ。問題は？捜査の報道資料を公開する際に、Ledgerデバイスの横にウォレットの完全なニーモニックフレーズをはっきり写した写真を掲載したことだ。ぼかしも何もなしで、そのままだった。スクリーンショットを取るだけだった。

そして予想通り何が起きたと思う？ハッカーたちがその露出したニーモニックフレーズを見て、暗号の基本的な知識を持つ者なら誰でもやることをやった。ウォレットにアクセスしたのだ。時間はかからなかった。27日の深夜、資産の移動が始まった。最初はガス代として少量のETHを送った後、約400万のPRTGトークンを3回の取引で未知のアドレスに送金した。

失われた総額は？約480万ドルだ。これは韓国ウォンに換算すると64億ウォンに相当する。ポケットの小銭みたいな額じゃない。

最も馬鹿げているのは、専門家たちがこの行動を「ウォレットの鍵を公開したのと同じだ」と批判していることだ。要するに、国税庁はデジタル資産のセキュリティについてかなり基本的な理解さえ示してしまったわけだ。まるで冷蔵庫の扉に貼った付箋に銀行のパスワードを書いているようなものだ。

この話は、セキュリティプロトコルのあらゆる訓練で必ず取り上げるべきだ。暗号化だけの話じゃなくて、基本中の基本：敏感な情報は絶対に公開しないこと、たとえそれが無害に見えても。