メタマスクの「署名リクエスト」とは何ですか？また、いつ署名すればよいですか？

メタマスクで署名要求を理解する

メタマスクの署名要求は、ユーザーが秘密鍵を使用してメッセージにデジタル的に署名するように促すセキュリティ機能です。このプロセスには、暗号通貨の送信やスマートコントラクトと直接対話することは含まれません。代わりに、あなたのアイデンティティを検証するか、特定のオフチェーンアクションを承認します。分散型アプリケーション（DAPP）がメッセージに署名するように要求すると、メタマスクはメッセージの内容を示すポップアップウィンドウを表示し、確認を要求します。

署名リクエストの中心的な目的は、特定のイーサリアムアドレスを制御することを認証することです。ガスを必要とし、ブロックチェーン状態を修正するトランザクション要求とは異なり、署名リクエストは無料であり、チェーン上のアクティビティにはなりません。署名自体は、秘密鍵から生成された暗号化された証明であり、キーを公開せずに身元を確認します。

すべての署名要求が安全ではないことを理解することが重要です。悪意のあるDappsは、ユーザーをだまして、デジタル資産へのアクセスを許可したり、意図しないアクションを許可したりするなど、有害なメッセージに署名しようとする場合があります。確認する前に、常にメッセージコンテンツを検査してください。

署名するように求められるかもしれないメッセージの種類

Metamaskは、さまざまな種類のメッセージに署名することをサポートしています。それぞれが異なる目的を果たします。

• プレーンテキストメッセージ：これらは、「Dapp XYZへようこそ」などの単純なテキストの文字列です。署名すると、住所を所有していることが証明されますが、コンテンツが良性であれば最小限のリスクがあります。
• 構造化データ（EIP-712） ：この形式は、データを型付けフィールド（名前、ウォレット、ノンセなど）に整理し、フィッシングリスクの読み取りと削減を容易にします。 EIP-712署名は、一般的にチェーンオフチェーントランザクション、ログインシステム、または投票メカニズムに使用されます。
• Personal Sign（ETH_SIGN） ：このメソッドは、「\ x19ethereum署名されたメッセージ：\ n ' + length」で接頭する生データに署名します。悪用されれば悪用される可能性があるため、古くて安全性が低くなります。
• タイプされたデータ（eth_signtypeddata） ：これは、構造化されたデータに署名するための推奨される方法です。 Metamaskはフィールドをはっきりと表示し、署名する前に各値を確認できます。

DAPPがEIP-712を使用すると、メタマスクの署名要求ウィンドウには、16進コードの代わりにラベル付きフィールドが表示されます。この透明性は、ユーザーが承認しているものを正確に理解するのに役立ちます。

いつメッセージに署名する必要がありますか？

要求するdappを信頼し、目的を理解した場合にのみ、メッセージに署名する必要があります。一般的な合法的なシナリオには次のものがあります。

• DAPPへのログイン：一部のプラットフォームでは、パスワードの代わりに署名ベースの認証を使用します。ユニークな課題に署名することで、機密情報を明らかにすることなく、財布の所有権を証明します。
• 航空ドロップまたはNFTの請求：プロジェクトには、適格性を検証し、ボットの請求を防ぐために署名が必要になる場合があります。
• 分散型ガバナンスに参加する：投票オフチェーンに署名すると、ガスコストが削減され、意図を記録します。
• オフチェーンアクションの承認：Openseaのような市場は、署名要求を使用して、即時のブロックチェーントランザクションなしでNFTをリストします。

先に進む前に、Dappのドメインが正しく、メッセージコンテンツが期待と一致していることを確認してください。要求が、支出手当や資金へのアクセスなど、認証を超えた許可を求めている場合、署名しないでください。

メタマスクで署名リクエストを安全に処理する方法

メタマスクが署名リクエストを表示したら、次の手順に従ってセキュリティを確保します。

• DappのURLを確認してください。公式Webサイトにあることを確認してください。フィッシングサイトは、しばしば合法的なプラットフォームを模倣します。
• メッセージの詳細を確認します：EIP-712形式で読み取り可能なコンテンツを探します。ヘックスコードのみが表示されている場合は、注意してください。
• 要求ドメインを確認します：Metamaskには、原点（app.uniswap.orgなど）が表示されます。使用するDAPPと一致することを確認してください。
• リスクを評価する：メッセージに「承認」、「支出」、または参照トークンなどの用語が含まれている場合、それは偽装された許可である可能性があります。
• テストにはセカンダリウォレットを使用します。不確かな場合は、ウォレットを最小限の資金で接続してリクエストを評価します。

HEXエンコードメッセージを検査するには、 EtherScanのABIデコーダーやオンラインヘックスツーテキストコンバーターなどのツールを使用してデコードできます。ただし、信頼できないWebサイトに機密データを入力しないでください。

署名と承認トランザクションの違い

署名リクエストとトランザクションの承認を区別することが不可欠です。

• 署名リクエストはガスのコストをかけず、鎖外で発生し、アイデンティティのみを証明します。
• トランザクション承認（例えば、ERC-20承認）はオンチェーンであり、ガスを必要とし、トークンを使う許可を与えるスマート契約を付与します。

一般的な詐欺には、トランザクションの承認を模倣する署名リクエストを提示することが含まれます。たとえば、メッセージは「署名することで、UNISWAPに100 DAIを承認する」と主張するかもしれませんが、実際の承認関数は呼ばれないため、危険は署名されたデータの潜在的な誤用にあります。常に覚えておいてください：署名は資金を直接転送することはできませんが、DAPPバックエンドが侵害された場合のアクションを承認するために使用できます。

もう1つの重要な違いは、可逆性です。チェーン上の承認は、ブロックチェーントランザクションを介して取り消すことができますが、署名は元に戻すことはできません。署名すると、暗号化された証明が存在し、Dappのロジックに従って使用できます。

よくある質問

悪意のあるメッセージに署名するとどうなりますか？有害なメッセージに署名することで、攻撃者が特定のプラットフォームになりすましたり、DAPPが権限の署名に依存している場合、不正アクションを実行したりすることができます。たとえば、分散型取引所で取引権を付与する署名されたメッセージを再生するために再生することができます。妥協が疑われる場合は、すぐにウォレットを外し、接続されたダップを監視します。

署名リクエストは私の財布を排出できますか？署名要求は、トランザクションを実行しないため、ファンドを直接排出できません。ただし、署名されたメッセージが、許可機能を模倣するフィッシングの試みのように、あなたに代わって行動することを許可している場合、DAPPの契約が悪意のある場合、間接的に損失につながる可能性があります。常にコンテキストを確認してください。

署名後に署名を取り消すにはどうすればよいですか？デジタル署名が作成されると、デジタル署名を取り消すことはできません。暗号化の証明は有効なままです。最善のアクションは、メタマスクの接続されたサイト設定を介してウォレットからDAPPを外し、信頼できないプラットフォームで署名を再利用することを避けることです。

メタマスクは、読みやすいテキストの代わりにヘックスを表示するのはなぜですか？メタマスクは、構造化されたeth_signTypedDataの代わりにRAW eth_signを使用するときにHEXを表示します。これにより、検証が難しくなります。より良い透明性のためにEIP-712を実装するDappsを好む。ヘックスが表示されている場合は、ソースを完全に信頼し、ペイロードを理解しない限り、減少することを検討してください。