EthereumのClear Signingとは？ERC-7730が「見えない署名」を減らす仕組み

ERC-7730は何をするのか

ERC-7730は、新しいトランザクション形式ではありません。オンチェーンで実行される内容を変えるものでもありません。役割は、ウォレットがスマートコントラクト呼び出しやEIP-712型付きメッセージを人間向けに表示するための追加メタデータを提供することです 。

Ledgerの技術仕様では、ERC-7730ファイルにコントラクトアドレス、チェーンID、ABIといった結び付け情報に加え、メタデータと表示ルールが含まれると説明されています 。言い換えると、低レベルのcalldataと、利用者が見るウォレット画面の間に入る「翻訳表」のようなものです。

流れを簡略化すると、次のようになります。

1. プロトコルや開発者が、特定のコントラクト関数や型付きメッセージ向けにERC-7730ディスクリプタを作成する 。
2. ウォレットや署名デバイスが、レジストリや対応するメタデータソースから該当ディスクリプタを取得する 。
3. ウォレットがそのディスクリプタを使って取引データをデコードし、署名前に構造化された要約を表示する 。
4. 利用者は表示内容を、自分が実行しようとしていた操作と見比べてから承認できる 。

利用者から見た変化はシンプルです。対応ウォレットやデバイスでは、意味不明なcalldataや曖昧な署名プロンプトの代わりに、取引内容を理解しやすい形で確認できるようになります。LedgerはClear Signingについて、複雑なスマートコントラクトデータを分かりやすい取引詳細に変換し、Ledgerデバイスの安全な画面にも表示できるものだと説明しています 。

レジストリと監査が重要な理由

Clear Signingの信頼性は、ウォレットがどのディスクリプタを使うかに大きく左右されます。ディスクリプタは、あるコントラクト呼び出しやメッセージをどう解釈し、どう表示するかを決めるため、実質的にセキュリティモデルの一部になります 。

ここには大きなトレードオフがあります。レジストリがあればディスクリプタを見つけやすくなりますが、同時に「誰が登録・更新・却下を判断するのか」というキュレーションと信頼の問題が生まれます。監査は誤解を招く表示のリスクを下げますが、すべてのコントラクトを安全にするわけでも、すべてのウォレット表示を完全にするわけでもありません。公開情報ではレジストリやアテステーションの方向性は示されていますが、ガバナンス、異議申し立て、古くなったディスクリプタの扱いまで細かく説明されているわけではありません 。

誰が支えているのか

Ethereum Foundationの公式発表では、Clear Signingの立ち上げ主体として、ウォレット開発者、セキュリティ企業、Ethereum FoundationのTrillion Dollar Security InitiativeからなるEthereum Working Groupが示されています 。ただし、利用可能な公式抜粋では、参加者全員の完全な名簿は示されていません。

確認できる中で最も明確な支援者はLedgerです。LedgerはERC-7730とClear Signingの技術文書を公開し、Ledgerデバイス向けのClear Signingを説明しており、Ledger Wallet経由で15以上の人気サービスプロバイダーがClear SigningとTransaction Checkをサポートしているとも述べています 。

第三者のローンチ報道では、ワーキンググループのメンバーとしてLedger、Trezor、MetaMask、WalletConnect、Cyfrin、Fireblocksが挙げられています 。また、MetaMaskによるClear Signing対応強化は、Ledgerとの協業として別途報じられています 。ただし、公式発表がカテゴリーを示す一方で完全な一覧を提示していない以上、これらの名称は「報道された参加・対応」として読むのが慎重です 。

残る最大の課題はコントラクトの網羅性

Clear Signingは、Ethereum上のすべての操作を自動的に読みやすくする魔法ではありません。対応するコントラクト呼び出しやメッセージごとに適切なメタデータが必要で、ウォレット側も標準に対応している必要があります 。

ethereum.orgは現状のギャップを明確に説明しています。ソフトウェアウォレットはコントラクトを認識できる場合にだけフィールドをデコードし、認識できない場合には利用者がブラインド署名に戻る可能性があります 。

長い尾、つまり日々増え続ける小規模・新規コントラクトへの対応も課題です。エアギャップ型ハードウェア署名デバイスを開発するKampelaは、ERC-7730のようなキュレーションされたオフチェーンレジストリは有名なコントラクトにはClear Signingをもたらせる一方、第三者のキュレーションに依存し、毎日デプロイされる多数のコントラクトへ拡張するのは難しい可能性があると主張しています 。これは代替設計を提案する立場からの批判であり、ERC-7730が拡張できないことの証明ではありません。ただし、ディスクリプタが存在し、見つけられ、正確に保たれる必要があるという実務上の問題を浮き彫りにしています。

エアギャップ型ハードウェアウォレットでは何が難しいのか

Clear Signingは、ウォレットやデバイスが通常のソフトウェア経路でディスクリプタを取得・更新できる場合に理解しやすい仕組みです。Ledgerの利用者向け資料では、Ledgerの署名デバイスをBluetoothまたはUSBで接続し、デバイス上で明確な取引詳細を確認する流れが説明されています 。

一方で、完全にネットワークから切り離されたエアギャップ型デバイスでは、署名機がディスクリプタデータをどのように受け取り、検証し、更新するのかがより難しい問題になります。ethereum.orgも、オフラインデバイスは利用者がブラインド署名に陥り得るケースの一つだと述べています 。KampelaのオンチェーンClear Signing提案は、制約のあるエアギャップ型デバイスでも、信頼できる第三者なしに取引を人間が読めて検証可能にすることを目指すもので、オフチェーンレジストリ方式のキュレーション依存を批判しています 。

これは、Clear Signingがハードウェアウォレットで機能しないという意味ではありません。むしろ、接続型のウォレットやハードウェアウォレットでの使い道は明確です。ただし、完全なエアギャップ運用における最も強い保証については、公開資料から読み取れる範囲では、まだ接続型の利用シナリオほど明確ではありません。

結論

EthereumのClear Signingは、ブラインド署名を「読める承認」に置き換えようとする本格的な取り組みです。ERC-7730が表示用ディスクリプタ形式を提供し、レジストリがそれを見つけやすくし、監査やアテステーションがウォレット表示への信頼を補強する、という構図です 。

ただし、価値を決めるのは普及です。主要ウォレット、ハードウェアデバイス、プロトコル、レジストリ、監査者が信頼できるディスクリプタに収束すれば、利用者が意味不明な署名画面に直面する場面は減るはずです。一方で、新しいコントラクトやエアギャップ型デバイスへの対応が薄いままなら、ブラインド署名が一気に消えることはありません 。