Ledger社が提供するLedger Recoverというサブスクサービスをご存知でしょうか。
ハードウェアウォレット界隈でサブスクサービスというのはかなり珍しいのですが、この機能がでた時は色々な意味で話題になりました。
Ledger Recoverとは
Ledger Recoverはシャミアの秘密分散法を利用して3社のHSM内に秘密情報を分散保管することでシードフレーズを安全にバックアップするサービスです。分散された秘密情報はユーザーが所有するLedgerと各社のHSMにより二重に暗号化された状態で保管されます。
月額費用は$9.99。
Ledger Liveは個人情報をキーにシードフレーズを保管するサービスです。
サービスを利用しシードフレーズを保管する場合はまずは身分証とセルフィーを準備して身元情報を登録します。
そしてシードフレーズを復元する際も本人確認を行う必要があります。ちなみに本人確認は3社にて行われるようでかなり手厚い体制です。
また、万が一の事態(≒シードフレーズの漏洩)が発生した場合でも5万ドルまでの補償を受けられる場合があるようです。
詳細は以下の公式サイトから確認できます。
なぜ話題になったのか
(私の記憶を頼りに書いているので時系列などに間違いがあるかもしれません)
確か最初に話題になったのはLedger Recoverが提供開始されるよりも前のことで、当時のTwitter(現X)でLedgerにシードフレーズをエクスポートする機能が実装されているということで(主に批判的な)ツイートが流れていました。
私自身Ledgerはあまり使っていないので関係なかったというのもさることながら、そもそも真偽がわからなかったのでそれはよくないな〜くらいの軽い気持ちで見ていたのですが、後にLedger Recoverが提供開始されたのでツイートの内容は本当だったようです。
ハードウェアウォレットはシードフレーズをオフラインで保管しながらトランザクションを発行できることに意義があるのに、よりによってシードフレーズをオンラインに晒す機能をつけるというのは存在意義を放棄していると見ることもできるわけですから、批判的な意見が出てくるのも仕方ないと思いますね。
Ledger Recoverは使わない方がいいのか?
Ledgerによって公開されているサービス設計を見るとかなり厳格な仕組みとなっているのでシードフレーズが漏洩するリスクは低いと思います。
なので個人でシードフレーズを保管する場合の紛失リスクと比較するとリスクが軽減されるケースも多いのかなと。
よって個人の判断で使いたければ使えばいいというのが私の見解です。
私自身のセキュリティに関するポリシーとLedger社の方針が合わないので私は使わないのですが、現実のリスクだけを見るなら悪いサービスではないのかなと。
まとめ
Ledgerは他にも専用ソフトウェアのLedger Liveが何かしらの情報をサーバーに送信しているとかいう指摘がされたりとたまに話題になる印象ですが、脆弱性によるシードフレーズの流出などは耳にしたことがないので今のところ普通に使う分には問題ないのかなと思っています。
Ledgerはあまり使わない方針としている私が言うのもアレですが、対応コイン・使いやすさ・価格の総合力でいえばトップクラスだと思うのでこれだけでLedgerを候補から外すのはどうなのという思いもあったり
Ledgerのサイトにかなり詳しくサービス設計の説明がされているので興味がある方は一読してみてはいかがでしょうか。
