MetaMaskは、ConsenSys社が2016年にChrome拡張機能としてリリースした、Ethereumとそれに互換性のあるブロックチェーンを扱うためのウォレットアプリです。Aaron Davis(aka Kumavis)とDan Finlayがブロックチェーンとブラウザを橋渡しする初期版を作り、Joseph Lubinが率いるConsenSysの傘下で開発を継続しました。2020年にiOS/Androidアプリ版も提供され、月間アクティブユーザー数は2021年〜2022年のピーク時に3000万人を超え、現在も世界最大のEthereumウォレットとしてDeFi、NFT、Web3エコシステムの入口として機能しています。
この記事の目次
- MetaMaskの誕生
- 基本機能と動作原理
- DeFi/NFTとの使い分け
- セキュリティ上の注意点
- まとめ
MetaMaskの誕生
Joseph Lubinはイーサリアム共同創業者の一人として、2014年にConsenSysをニューヨークに設立しました。Ethereumがメインネットを稼働させた2015年7月以降、開発者と一般ユーザーがEthereumと対話するための使いやすいツールが急務となり、ConsenSysのエンジニアであるAaron DavisとDan Finlayが2016年7月に最初のMetaMask Chrome拡張をリリースしました。「Ethereumノードを動かさなくても、ブラウザから直接dappsと対話できる」というコンセプトは画期的で、開発者コミュニティの間で急速に普及します。
2020年9月にiOSアプリ、同10月にAndroidアプリがリリースされ、モバイル環境からもWeb3にアクセスできるようになりました。また、ハードウェアウォレット(Ledger、Trezor、KeyStone)との連携、Snaps(拡張プラグイン)機能による多チェーン対応、Institutional版(企業向けカスタディ機能)など機能拡張が続いています。2022年にはConsenSysが内部のMetaMask Walletとして事業部化し、Quorumなどの他事業と独立した開発体制を整えました。
基本機能と動作原理
MetaMaskは大きく3つの機能を提供します。1つ目は秘密鍵管理で、BIP-39シードフレーズ(12または24単語)からBIP-44階層的鍵導出によりEthereumアドレスを生成し、ユーザーのデバイス上に暗号化保存します。秘密鍵自体はサーバーには送信されず、すべての署名はクライアントサイドで行われる「ノンカストディアル」設計です。
2つ目はブロックチェーンノードとの接続で、ConsenSysのInfura(既定)、Alchemy、Ankr、QuickNodeなどのRPCノードに接続して残高取得・トランザクション送信を行います。ユーザーは設定で任意のRPCエンドポイントを追加でき、Ethereumメインネットだけでなく、Polygon、Optimism、Arbitrum、Base、BNB Chain、Avalancheなど100以上のEVM互換チェーンを切り替えて利用できます。3つ目がdapps連携で、window.ethereumオブジェクトをWebページに注入し、EIP-1193規格でdappsから「アカウントへのアクセス許可」「トランザクション署名」「メッセージ署名」をリクエストできるようにします。
DeFi/NFTとの使い分け
DeFiやNFT取引にMetaMaskを使う典型的なフローは以下の通りです。Uniswap、Aave、OpenSeaなどのWebサイトを開き、「Connect Wallet」ボタンを押してMetaMaskを選択、表示されるポップアップで接続を承認します。その後、取引内容を確認するポップアップでガス代を確認しSignを押すと、トランザクションがブロックチェーンに送信されます。失敗時はEtherscanでトランザクション結果を確認し、再試行や手動キャンセル(Nonce書き換え)を行います。
ハードウェアウォレット(Ledger Nano、Trezor)と連携するとセキュリティが大きく向上し、秘密鍵を物理デバイスに閉じ込めたままMetaMaskから操作できます。Institutional版ではCubist、Fireblocks、GnosisSafe、Copperといった企業向けカストディとの統合があり、複数承認やコンプライアンス要件への対応が可能です。個人ユーザーの場合は、メインウォレットと検証用ウォレットを別アカウントで分け、フィッシング対策としてRevoke.cash等で定期的に承認権限を見直す運用が推奨されています。
セキュリティ上の注意点
MetaMaskはノンカストディアル型のため、シードフレーズを失えば資産も復元できません。メモを紙やメタルプレートにバックアップし、複数の安全な場所に保管するのが鉄則です。また、シードフレーズを入力するように要求するページは100%フィッシングと考えてよく、MetaMask本体や正規のリカバリープロセス以外で入力してはいけません。
近年のフィッシング攻撃は高度化しており、Discord乗っ取りや偽X(Twitter)アカウントからの誘導、Google広告経由の偽MetaMask拡張、無限承認(unlimited approve)を悪用したサイレント引き出しなど多様化しています。対策として、ハードウェアウォレットの併用、複数アカウントの分離、Phishing Warning機能の有効化、定期的なtoken approval revokeが効果的です。また、2023年以降は「Wallet Drainer」と呼ばれる攻撃キット(Inferno Drainer、Pink Drainerなど)が事業化されており、ハッカー集団が組織的にユーザーを狙う状況になっているため、信頼できるdappsだけに接続する意識が以前にも増して重要です。
まとめ
MetaMaskは、2016年にConsenSysが世に出して以来、ブラウザとEthereumをつなぐ標準的なウォレットとして数千万ユーザーの入口となってきました。Ledger連携、Snaps拡張、Institutional版など機能を広げつつも、ノンカストディアル原則を保ち続けており、Web3利用者にとって信頼できるエントリーポイントであり続けることが期待されています。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント