TZURTZURWindows版 TZUR に戻る

TZUR for Windows · 法的情報

セキュリティの原則

非カストディアル型の設計

TZUR Wallet は完全に非カストディアル型です。お客様の秘密鍵がサーバーに保存されることは決してなく、TZUR はお客様の資金にアクセス、凍結、または移動する能力を一切持ちません。作成するアカウントはなく、ウォレットデータのクラウドストレージもなく、お客様の Bitcoin 保有に関するサーバー側の記録もありません。お客様の鍵はお客様のコンピューター上にのみ存在し、Windows のセキュリティと、有効にされている場合はお客様のコンピューターの TPM によって保護されます。仮に明日 TZUR のサーバーが消滅したとしても、お客様の Bitcoin は完全にアクセス可能なままです。お客様は、シードフレーズと任意の BIP-39 互換ウォレットアプリケーションを使用してウォレットを復元できます。

鍵の生成と導出

秘密鍵はお客様のコンピューター上でローカルに生成されます。暗号学的なランダム性は、オペレーティングシステムの安全な乱数生成器(Windows では BCryptGenRandom)によって提供されます。TZUR は階層的決定性鍵導出のために BIP-32 に従っており、これによりお客様のウォレット全体が単一のマスターシードから導出されます。アドレス生成のために、TZUR は BIP-84 を実装し、導出パス m/84'/0'/0' を使用して Native SegWit(bech32)アドレスを生成します。これは完全に決定論的であり、同じシードは常に同じ順序のアドレスを生成します。鍵の素材がリモートサーバー上で生成されたり、リモートサーバーに送信されたりすることは決してありません。

シードフレーズのセキュリティ

お客様の 12 単語のシードフレーズは、BIP-39 標準に従ってローカルで生成されます。このシードフレーズは、お客様のウォレットの唯一の復元手段です。TZUR はお客様のシードフレーズを保存、送信、またはアクセスすることは一切ありません。このフレーズはウォレットの作成時に一度表示され、バックアップ目的で設定から再度確認できます。ネットワーク経由で送信されることも、サーバーログに書き込まれることも、分析データに含まれることも決してありません。シードフレーズとコンピューターの両方を失った場合、お客様の Bitcoin は TZUR を含む誰によっても復元できません。

メモリの取り扱い

秘密鍵の素材は有害なデータとして扱われます。鍵は、取引の署名に必要な場合にのみ安全なストレージから読み込まれます。取引が署名されると、すべての鍵の素材は直ちにメモリから消去されます。秘密鍵は、アプリケーションの状態にキャッシュされることも、一時ファイルに書き込まれることも、ログに記録されることも、保護されていないストレージに永続化されることも決してありません。

安全なストレージ

暗号化されたシードを含む機密性の高いウォレットデータは、Windows DPAPI(Windows Data Protection API)で封印されたローカルのシークレットファイルに保管されます。DPAPI はデータをお客様の Windows ユーザーアカウントに紐付けるため、別のマシンに持ち出したり、オフラインで入れ替えたりすることはできません。Trusted Platform Module(TPM)を搭載したコンピューターでは、暗号化されたシードをさらに TPM に封印できます。TPM の鍵はエクスポート不可能であり、ハードウェアから離れることは決してないため、コピーされたシークレットファイルは、PIN があっても別のマシン上でオフラインで攻撃することはできません。本アプリケーションは PIN によってゲートされ、600,000 回の反復による PBKDF2-HMAC-SHA256 で強化されており、利用可能な場合は Windows Hello によっても保護されます。TZUR は機密データを平文ファイルや保護されていないストレージの仕組みに保存することはありません。

アプリロックとキャプチャ保護

TZUR は、起動時および一定時間の非アクティブ状態の後に、お客様の PIN(および有効にされている場合は Windows Hello)の背後で自身をロックします。自動ロック間隔は設定可能です(1 分、10 分、1 時間、または 6 時間)。本アプリケーションはまた、のぞき見や画面録画マルウェアのリスクを軽減するために、機密性の高い画面で画面キャプチャ保護を有効にします。

ネットワークと Electrum の信頼モデル

TZUR は公開された Electrum サーバーと通信し、ブロックチェーンデータを取得します。Electrum サーバーは信頼されていません。これらはデータプロバイダーとしてのみ機能します。すべての取引の構築と署名は、お客様のコンピューター上でローカルに行われます。TZUR が秘密鍵、シードフレーズ、または個人データをネットワーク経由で送信することは決してありません。接続には TLS が使用されます。取引の整合性は Merkle 証明を使用して検証されます。

プライバシーを尊重する分析データ

TZUR Wallet は、アプリケーションを改善するために匿名の利用分析データを収集することがあります。分析データは完全に任意であり、いつでも設定から無効にできます。

分析データには次のものが決して含まれません。

  • ウォレットアドレスまたは公開鍵
  • アカウント残高または UTXO データ
  • 取引金額、宛先、または履歴
  • シードフレーズまたはあらゆる鍵の素材
  • 秘密鍵または導出パス
  • 個人の身元、氏名、または位置情報

TZUR Wallet には、広告 SDK、第三者のトラッキング技術、またはフィンガープリンティングライブラリは含まれていません。当社は、いかなるユーザーデータも販売、共有、または収益化しません。

責任ある開示

TZUR Wallet にセキュリティ上の脆弱性を発見した場合は、contact@tzur.live までご報告ください。当社はすべての報告を真剣に受け止め、速やかに対応いたします。

最終更新日: 4/6/2026