BIP39:ビットコインウォレットのバックアップ用ニーモニックシードワード
約370万ビットコインが、誰も開けることのできないウォレットに眠っている。これは、これまでに発行されたすべてのコインの約5分の1に相当する。2020年のChainalysisの調査で推定されたこの数字は、2026年時点でもほとんど変動がないため、アナリストは繰り返し引用している。これらのコインのほとんどは、シードフレーズを紛失した一般の人々のものである。同じ問題のもう一方の側面として、Chainalysisは2025年に15万8000件の個人ウォレットの侵害を数え、約8万人の被害者から約7億1300万ドルが流出したとしている。2つの障害モード。その両方の中心にある1つの文書。12または24の単語が実際に何を意味するかを決定する仕様であるBIP39が、そのすべての根底にある。
2026年にBIP39バックアップが重要な理由
新しいウォレットは、12個の単語が書かれた紙を渡して、「安全な場所に書き留めてください」と指示します。これはBIP39ニーモニックシードフレーズです。大切に扱えば、最も安全なバックアップになります。しかし、不用意に扱えば、世界で最も簡単に紛失してしまうものです。このフレーズを互換性のあるウォレットに、どのデバイスからでも入力すれば、資金は戻ってきます。紛失してしまったら、サポートデスクは存在しません。
両方の結果の規模は今や測定可能だ。370万BTCという数字は、初期のウォレットで少なくとも5年間手つかずだったコインから構築されたもので、ほとんど変動していない。盗難の面では、Chainalysisの2025年12月のハッキングレポートによると、年間で34億ドルが盗まれ、そのうち7億1300万ドルは15万8000件の個人ウォレットの事件によるものだ。同レポートでは、これらの個人ウォレットの損失の43.8%は秘密鍵の侵害によるもので、簡単に言えば、シードフレーズが盗まれたことを意味する。
現代のウォレットはすべてBIP39を実装しています。Ledger、Trezor、MetaMask、Phantom、Trust Wallet、Coinbase Wallet、Exodus、Electrum、Atomicなど、すべてです。相互運用性こそがこの標準規格の核心であり、あるウォレットで生成されたシードは別のウォレットで復元可能でなければなりません。特定のブランドの復元手順を暗記するよりも、BIP39が数学的にも運用的にもどのようなものかを理解することの方がはるかに重要です。
BIP39の記憶術シードフレーズと単語リストとは一体何なのか
BIP39 ニーモニックにはさまざまな呼び名があります。リカバリー フレーズ、ニーモニック フレーズ、ニーモニック コード、ニーモニック センテンス、ウォレット シード。これらはすべて同じものを指しています。生の暗号鍵と同じ情報をエンコードした単語の列ですが、書き間違える可能性がはるかに低くなっています。2,048 個の厳選された英単語の固定リストから 12 個または 24 個の単語が選ばれます。「Abandon」は 1 番目に位置し、「Zoo」は 2,048 番目でリストの最後を締めくくります。「Satoshi」は真ん中の 1,532 番目にあり、ビットコインの匿名の作成者へのちょっとした敬意を表しています。
Marek Palatinus と Pavol Rusnak (Slush Pool、後に SatoshiLabs と Trezor に所属) は、Aaron Voisine と Sean Bowe と共に、2013 年 9 月 10 日に仕様書を作成しました。Bitcoin Improvement Proposal 39 は、BIP リポジトリで正式に「Final」ステータスに昇格されることはありませんでした。しかし、約 2 年以内に事実上の業界標準となりました。現在、公式の単語リストは 10 種類あり、すべて正確に 2,048 語です。英語、日本語、韓国語、中国語簡体字、中国語繁体字、スペイン語、フランス語、イタリア語、チェコ語、ポルトガル語。
この単語リストは意図的に寛容な作りになっています。各単語は最初の4文字で一意に識別されるため、「abandon」と「ability」は一見しただけでは混同されることはなく、末尾のスペルミスがあってもフレーズが途切れることはありません。著者は、4文字の接頭辞を共有する単語のペア、あまりにも稀な単語や古風な単語、そして明らかな同音異義語を除外しました。
| 単語リスト順位 | 言葉 | 注記 |
|---|---|---|
| #1 | 放棄する | 英語リストの最初の単語 |
| #1,532 | サトシ | ビットコインの匿名の創始者に敬意を表する |
| #2,048 | 動物園 | 英語リストの最後の単語 |
16進数の鍵に対応するニーモニックは短く、スキャンしやすく、1枚の紙に書き込める。256ビットの秘密鍵は`4a533d1654b17deecf2a6...`のようになるが、同じ鍵をBIP39 24ワードシードとしてエンコードすると、24個の普通の英単語になる。どちらも同じエントロピーを持つ。しかし、電話越しに相手に読み上げても正気を失っているように聞こえないのは、どちらか一方だけだ。
ニーモニックの生成:BIP39はどのようにコードを構築するのか
生成手順は短く、手順を追う価値があります。手順 1. 暗号的に安全な乱数生成器から 128 ビットのエントロピーを取得します (24 ワード バージョンが必要な場合は 256 ビット)。手順 2. そのエントロピー ビットに対して SHA-256 を実行します。ハッシュの最初の 4 ビット (256 ビットの場合は 8 ビット) を取得し、エントロピーに追加します。これがチェックサムです。これで 132 ビットまたは 264 ビットが保持されます。
ステップ 3 は機械的な処理です。ビットを 11 ビットのチャンクに分割します。各チャンクは 0 から 2,047 までの数値で、ワードリストに直接対応します。132 を 11 で割ると 12 個のワードが得られます。264 を 11 で割ると 24 個のワードが得られます。チェックサムは後で静かに重い処理を実行します。復元時にウォレットは SHA-256 を再計算し、チェックに失敗したものは拒否するため、最後のワードにタイプミスがあった場合、空のウォレットが静かに復元されるのではなく、通常はすぐに明らかになります。
総当たり攻撃の探索空間は、誰も正確には説明できない部分です。12 語のフレーズは、チェックサム制約後、2,048^12 ≈ 5.4 × 10^39 通りの有効な組み合わせがあります。24 語のフレーズは 2,048^24 ≈ 3 × 10^79 通りです。1 秒あたり 10^18 個の鍵を推測する架空の攻撃者を想像してみてください。128 ビットの場合でも、約 10 京年かかります。参考までに、観測可能な宇宙には約 10^80 個の原子が存在します。2025 年までに、BIP39 ニーモニックを総当たり攻撃で解読した公開攻撃はありません。記録されている損失はすべて、盗まれたフレーズによるもので、推測によるものではありません。
実際にロックを解除する前に、もう1つのステップがあります。ニーモニックはPBKDF2-HMAC-SHA512に入力され、2,048回の反復処理が行われます。この際、リテラル文字列「mnemonic」とオプションのパスフレーズを連結した文字列がソルトとして使用されます。512ビットの結果がシードです。このシードは、BIP32(次のレイヤー)がウォレット内のすべての実際の秘密鍵を生成するために使用します。
ニーモニック、シード、キー――3つの異なる要素、3つの階層。この分割こそが、同じ12個の単語から全く異なるウォレットが生成される理由です。パスフレーズを変更すれば、ソルトもシードも、すべてのキーも変わります。
BIP39、BIP32、BIP44:レイヤーの積み重ね方
初心者が陥りがちな恐怖の瞬間がここにあります。12個の正しい単語を別のウォレットに復元すると、新しいウォレットの残高がゼロと表示されます。単語自体は問題ありませんでした。問題は、導出経路にありました。BIP39、BIP32、BIP44は、シードフレーズを実際のアドレスに変換する3つの異なるビットコイン改善提案(BIP)です。この経路について意見が異なる2つのソフトウェアは、ひっそりとツリーの間違った枝を参照してしまうのです。
| 標準 | 年 | 仕事 |
|---|---|---|
| BIP32 | 2012 | 階層型決定論的ウォレット ― 1つのシードを鍵のツリーに変換する |
| BIP39 | 2013 | シードの記憶術的符号化 |
| BIP44 | 2014 | 標準偏差パス: m/44'/coin'/account'/change/index |
ウォレットが標準以外のパスを使用している場合(古いツールやハードウェア固有のツールなど)、別のウォレットで復元しても、パスを手動で設定するまで何も表示されません。データが失われているわけではありません。アドレスリストは同じツリーの別のブランチから読み込まれているだけです。慌てる前に知っておくと良いでしょう。
12語対24語とパスフレーズ
12ワードと24ワードのどちらが良いかという議論は、ほとんど学術的なものです。12ワードでは128ビットのエントロピーが得られ、24ワードでは256ビットのエントロピーが得られます。どちらの数値も、実行可能な総当たり攻撃の範囲をはるかに超えており、128ビット版は米国政府の極秘データに使用されるAESの標準規格です。24ワードは将来の量子攻撃による探索空間への攻撃を防ぎますが、12ワードでは現在のモデルでは依然として解読できません。
本当に興味深い制御はパスフレーズ、別名「25番目の単語」です。任意の長さの任意の文字列が、シードが生成される前のPBKDF2ソルトに混合されます。パスフレーズが異なればウォレットも異なれば単語も同じになります。これにより、BIP39独自の機能である「否認可能性」が実現します。パスフレーズが存在することを証明する方法はありません。なぜなら、考えられるすべてのパスフレーズで有効な(ただし空の)ウォレットが生成されるからです。強制されたユーザーは、少額の資金を保管する「おとり」ウォレットに12個の単語を渡すことができます。実際の資金は、ユーザーだけが覚えているパスフレーズの背後にあります。落とし穴は対称的です。パスフレーズを紛失すると、その背後にあるウォレットは永久に失われます。復旧もヘルプデスクへの問い合わせもできません。
実際のBIP39シードフレーズ盗難:2023年から2025年にかけて我々が学んだこと
数学的な理論が完璧だとしても、それを取り巻く人間はそうではない。この3年間は、失敗の典型例と言えるだろう。
2023年6月、Atomic Walletは少なくとも5,500のユーザーアカウントから1億ドル以上が不正に引き出された。Elliptic社はこの攻撃を北朝鮮のラザルスグループによるものと断定した。Atomic Walletは、500万人のユーザーのうち影響を受けたのは0.1%未満だと主張した。根本原因は未だに正式には確認されていないが、デバイス上のシードデータが明らかに侵害されたことは間違いない。
2023年12月14日、Ledgerの「Connect Kit」npmパッケージが、フィッシング詐欺によって入手した元従業員のnpmトークンを介して約5時間にわたり不正アクセスを受けました。Angel Drainerグループによる悪意のあるコードがバージョン1.1.5~1.1.7にプッシュされ、多くのEVM dAppsに密かに注入されました。Ledgerがパッケージを削除するまでに約60万ドルが流出しました。これはLedgerハードウェアの欠陥ではなく、JavaScriptの依存関係におけるサプライチェーンの侵害であり、別のレイヤーでユーザーのウォレットに影響を与えました。
産業規模のウォレットドレイナーは2024年まで続いた。Scam Snifferの2025年1月のレポートによると、ドレイナースクリプトによって盗まれた金額は4億9400万ドルに達し、33万2000件の被害者アドレスが標的となった。Inferno Drainerは市場シェアの40~45%、Pink Drainerは撤退前に28%を占めていた。これらの被害者の多くは、MetaMaskやPhantomのネイティブアプリのように見える偽の「ウォレット認証」ポップアップに、シードフレーズを自発的に入力してしまった。
最も深刻な個人への脅威は、クリップボードマルウェアです。カスペルスキーは2025年2月に「GitVenom」キャンペーンを公表しました。偽のGitHubリポジトリを通じて仕掛けられたクリップボード置換コードにより、約5BTC(約48万5000ドル)が盗まれ、被害者はブラジル、トルコ、ロシアに集中していました。また、2025年には、偽のProxifierインストーラー内に仕込まれた別のClipBankerトロイの木馬が、BTC、ETH、XMR、DOGE、SOL、TRX、XRP、XTZの2000人以上のカスペルスキーユーザーに感染し、ペースト中にコピーされたアドレスを攻撃者が制御するアドレスに密かに置き換えていました。
Chainalysisの発表によると、個人ウォレットの年間損失額は15万8000件で7億1300万ドルに達し、そのうち43.8%は秘密鍵の漏洩が原因だった。盗難の大半はシードフレーズの盗難である。
安全なBIP39ビットコインウォレットバックアップ:紙、金属、シャミール
実用的な防御策は主に物理的なものです。紙はインクや丁寧なファイリングキャビネットに保管すれば何年も持ちますが、紙は約233℃で発火し、一般的な住宅火災では600~1,100℃に達します。303/304グレードのステンレス鋼で作られたCryptosteel Capsuleは、独立機関による耐熱試験で1,350℃でもデータが判読可能であることが確認されています。Billfodlは、ベンダーの資料によると約1,400℃までの耐熱性を持つ船舶用グレードのステンレス鋼を使用しています。
| 方法 | 熱 | 水 | 注記 |
|---|---|---|---|
| 紙 | 火傷温度は約233℃ | インクがにじむ | 最も安価で、交換可能 |
| クリプトスチールカプセル | 1,350℃に耐える | はい | 独立した耐熱試験 |
| ビルフォドル | 定格温度1,400℃ | はい | ベンダー評価 |
| SLIP-39(シャミール) | 基質による | 場合による | 種子をM-of-Nの株に分割する |
物理的な媒体以外にも、構造上の選択肢が2つ重要です。火災や洪水で一方の場所が完全に破壊された場合に備えて、地理的に離れた場所に2つのコピーを保管しておくこと。そして、Trezorが2019年8月にModel Tで導入したSLIP-39によるシャミアの秘密分散方式を検討すること。SLIP-39はシードを複数の20ワードのシェアに分割し、そのうちのM-of-Nがあれば復元に十分です。一方、Casaチームは、復元モデルとして地理的マルチシグを採用し、シャミア方式を明確に拒否しました。どちらの方式も、定義上、単純なBIP39が抱える単一障害点の問題を解消するように設計されています。
2026年にBIP39をサポートする暗号通貨ウォレット
ほぼすべてのシステムがBIP39をサポートしていますが、相互運用性には限界があります。復元が問題なく行われると想定する前に、どのウォレットがどの派生パスを使用しているかを把握しておくことが重要です。
| 財布 | チェーン | デフォルトパス |
|---|---|---|
| Ledger Nano | BTC、ETH、5,500以上の資産 | BIP44 m/44'/coin'/0' |
| トレゾール モデルT | BTC、ETH、その他多数 | BIP44 / SLIP-39オプション |
| メタマスク | EVM | m/44'/60'/0'/0/インデックス |
| ファントム | ソラナ、EVM | SOLの場合、m/44'/501'/n'/0' |
| コインベースウォレット | BTC、EVM、SOL | 標準BIP44 |
BIP39を超えて:パスキー、MPC、およびERC-4337
2025年は、BIP39に代わる信頼できる主流の代替手段が実際に出荷された最初の年でした。ERC-4337とWebAuthnパスキーに基づいて構築されたCoinbase Smart Walletは、8月にアカウント数が100万を超えました。そのうち27万は、Base Appの展開中の8月16日に1日で追加されました。ユーザーは、他のすべてのことにすでに使用しているFace IDまたは指紋でサインインし、シードフレーズを見ることさえありません。
ERC-4337 スマート アカウントは、イーサリアムおよびレイヤー 2 ネットワーク全体で 4,000 万件以上の展開に達しています。累積 UserOperations は 1 億件を超え、2023 年比で約 10 倍の成長となりました。2025 年 5 月に Pectra アップグレードで有効化された EIP-7702 は、最初の 1 週間で 11,000 件の EOA からスマート アカウントへの承認を記録しました。EIP-7702 の設計により、通常のウォレットは既存のキーを破棄することなく、必要に応じてスマート アカウントとして機能します。インフラストラクチャ側では、組み込みウォレット プロバイダーである Privy (ウォレット数 7,500 万)、Dynamic (ウォレット数 5,000 万以上)、Web3Auth (現在は MetaMask Embedded) (MAU 数 2,000 万) はすべて、マルチパーティ計算またはしきい値署名に依存しています。エンド ユーザーは、BIP39 シードを 1 つも保持することはありません。
だからといって、BIP39が衰退しているわけではありません。この規格はあまりにも広く普及しています。Ledgerは2025年に800万台目のデバイスを出荷し、販売台数は31%増加しました。実際に起こっているのは、明確な二極化です。パワーユーザー層(BIP39、ハードウェアウォレット、パスフレーズの組み合わせ)は依然としてゴールドスタンダードであり続けます。一方、一般ユーザー層は、言葉について考えることすらしたくない人々のために設計されたパスキーとアカウントの抽象化によって、静かに吸収されていきます。
BIP39の種子を保有している方への簡単なルール
5つのルールでほとんどの被害を防ぐことができます。インターネットに接続されたテキストフィールドには絶対にパスワードを入力しないでください。フィッシングポップアップは、入力されたパスワードを狙って作られているからです。また、パスワードを写真に撮るのも絶対にやめてください。写真は、完全に制御できないクラウドに同期されてしまうからです。長期保存を予定しているものは、紙よりも金属の方が安全です。復元機能を信頼する前に、別のウォレットでテストしてください。パスフレーズを使用する場合は、物理的に別の場所に保管してください。同じ脅威モデルでも、保管場所は異なり、決して同じ引き出しには保管しないでください。
