最近、仮想通貨のセキュリティが取り沙汰されている。2018年2月、仮想通貨取引所のコインチェックから仮想通貨「NEM」が不正流出したことを思い出した人もいるだろう(関連記事:コインチェック事件から改めて考える、仮想通貨の安全性)。
仮想通貨のウォレット(保管場所)には、大きく分けて、ネットワークに繋がっている「ホットウォレット」と、ネットワークから遮断されている「コールドウォレット」の2つがある。取引所や決済・送金のアプリなどのサービスはリアルタイムで送金する必要があるため、一部をホットウォレットとして運用しているが、ネットワークに接続されている以上、不正アクセスの標的になることもある。
今日では、仮想通貨のリスクが伝えられることが多い一方で、それに利用されているブロックチェーンの可能性が話題になることも増えてきた。複数の参加者が分散して取引を記録することにより、どこにいくら発行され、誰から誰にいくら支払われたか、誰でも閲覧できる取引台帳の維持が可能になる。取引台帳の各ブロックはそれぞれ次のブロックにリンクされ、チェーンを形成する(ブロックチェーン)。
もっとも、ブロックチェーンのデータと新規取引のデータの整合性を取る作業は、コンピューターによる計算で実現されるものの、膨大な計算量が必要になる。この仮想通貨の取引を確定する計算作業にマシンパワーを提供すると報酬が支払われるため、世界中で企業や個人が参加している(いわゆる「マイニング」)。
このテクノロジーはさまざまな企業や団体が採用を検討しており、金融、商取引、電子契約、医療などの分野で調査が進められている。文書を修正した履歴が残せるため、公文書管理にブロックチェーンを利用する取り組みも続々と登場している。
しかし、ブロックチェーンの膨大なデータは、それ自体が悪意を持った攻撃者には標的となりえるだろう。また、虚偽の記録などを混入させられるおそれもないとはいえない。仮想通貨そのものを狙った犯罪が注目を浴びやすいが、ブロックチェーンも、それを取り巻く環境や技術の利用者が増えれば、悪用を考える人たちが次々と現れてくるかもしれない。
では、ブロックチェーンを利用するにあたって、セキュリティ面で気にしなければいけないことはなんだろうか。今回はMcAfee Blogから「ブロックチェーン 脅威レポート:「ブロックチェーン革命』に参加する前に必ずセキュリティ確保を」を紹介するので、ブロックチェーンへの理解を深めてほしい。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
ブロックチェーン 脅威レポート:
「ブロックチェーン革命」に参加する前に必ずセキュリティ確保を:McAfee Blog
5月19日、奇虎360のリサーチャーがブロックチェーンベースのプラットフォームEOSに一連の脆弱性を発見、参加ノードがリモートコントロールされる恐れがあると発表しました。そのわずか4日前には、IoTプラットフォームHDACのマイニングプールサーバーが危険にさらされ、大変多くのマイナーがその影響を受けました。1月には、仮想通貨取引所Coincheckで最大の仮想通貨窃盗が発生、その結果日本円で約580億円(5億3200万ドル)相当のNEMの損失がありました。
人気と利益の上昇をうけ、サイバー犯罪者はブロックチェーンに関連する、ありとあらゆるものをターゲットにしています。 マカフィーのAdvanced Threat Research(ATR)のアナリストチームは、ブロックチェーンへの脅威に関するレポート(McAfee Blockchain Threat Report)を発行、ブロックチェーン技術の利用・導入者に向けて最新の脅威の現状を報告しています。
ブロックチェーンとは何か?
ブロックチェーン技術について聞いたことがない人でも、同技術を用いた仮想通貨、中でも最も普及しているビットコインについては聞いたことがあるのではないでしょうか。2017年末には、ビットコインは1コイン当たり2万ドルに達し、サイバー犯罪者を含む多くの人々が同通貨に関心を持つようになりました。仮想通貨は、ブロックチェーン技術により実現されています。複数の参加者が分散して取引を記録することにより、参加者同士はお互いに信頼していないにも関わらず、信頼できる取引台帳の維持が可能になります。取引台帳の各ブロックはそれぞれ次のブロックにリンクされ、チェーンを形成します。そのため、このシステムはブロックチェーンと呼ばれています。このチェーンのおかげで、外部に記録された情報に頼ることなく取引の正当性を信頼することができます。これが、ビットコインなどの分散型台帳を実現している仕組みです。
ブロックチェーンPoW 情報元: https://bitcoin.org/bitcoin.pdf
ブロックチェーンへの攻撃
サイバー攻撃者は消費者や事業者を対象にこれまで様々なサイバー攻撃方法を使用してきました。 主要な攻撃経路には、フィッシング、マルウェア、新技術やツール導入時に発生する脆弱性およびブロックチェーン技術そのものへの攻撃等があります。1月に発生したフィッシング事案では、数ヶ月続いた攻撃によって、仮想通貨のIOTAが400万ドルの損害を被りました。攻撃者は次々とターゲットを変えていきます。 2017年後半から2018年初めにかけて、その一部はランサムウェアからマイニングに移行し急激に増加しました。 彼らはオープンソースのマイニングツールやブラウザベースのマイニングサービスを攻撃に利用していることが明らかになっています。
仮想通貨をマイニングするマルウェアが急増(出典:マカフィーラボ:ブロックチェーン脅威レポート)
新しい技術やツールがブロックチェーン上に構築されたときに脆弱性が生じる場合もあります。最近のEOS攻撃はその一例です。2017年7月中旬、IOTAに対して行われた攻撃は基本的にどんなウォレットからでも盗めるという性質のものでした。別の仮想通貨Vergeに発見された多数の脆弱性は、処理能力を一切使わずにマイニングを行うことを可能にしました。
ブロックチェーン技術の中核への攻撃は、まったく効かないというわけではありませんが、実行するのはずっと困難になります。最も広く知られている攻撃は、51%攻撃、または多数派攻撃と呼ばれ、攻撃者は自力で独自のチェーンが作成できます。51 Crewとよばれるグループは、Kryptonなどの小規模な仮想通貨を対象とし、身代金要求を行いました。シビル攻撃と呼ばれる別の攻撃では、標的となった被害者の元帳を完全に制御できます。2016年のケースのように大規模なシビル攻撃の試みもなされています。
辞書攻撃
ブロックチェーンは比較的新しい技術かもしれませんが、だからといって旧式の攻撃が有効でないわけではありません。たいていの場合利用者のセキュアでない行為が原因で、辞書攻撃はブロックチェーンでも有効です。ブレインウォレットなどパスワードのセキュリティーが弱いウォレットは安全性が低いにも関わらず、依然として利用されています。 これらのウォレットは頻繁に窃盗被害にあっており、以下のウォレットからは60BTC近くが盗まれました。
このウォレットでは、最近2018年3月5日までに2回の取引が記録された。おおよそ15分の間に入金、出金それぞれ1回ずつの取引が発生している。情報元:https://blockchain.info
取引所への攻撃
ブロックチェーンに関連する企業の中でも特に重要で最大の標的になるのが、仮想通貨取引所です。取引所は、利用者が口座を作成し、金銭の管理や通貨の取引を行う場所という意味では、銀行のようなものと考えることができます。最も悪名高い事件の1つに、2011年から2014年の間に発生したマウントゴックスのインシデントがありますが、結果としてビットコイン4億5000万ドル相当が盗まれ、同社の取引所の閉鎖につながりました。前述のCoincheckはその後経営主体は変わったものの生き残り、2018年3月に被害者に対する払い戻しを開始しました。しかし、すべての取引所が順調に立ち直ったわけではありません。ポーランドのBitcurexは急に閉鎖され、詳細に関する公的な調査が始まりました。Youbitは2回の攻撃を受けて、倒産に追い込まれました。
サイバー攻撃でズタズタにされたポーランドの取引所 Bitcurexの広告:セキュリティを強化し信頼回復を訴えている
まとめ
ブロックチェーン技術とその利用者は、収益を重視するサイバー犯罪者のターゲットとなっています。攻撃者は戦術を変更し、また新しいグループがその隙間に参入してきます。より多くの企業がビジネス上の問題解決のためにブロックチェーン技術に目を向け、消費者がますますこれらのテクノロジーに依存する中、適切なリスク管理を達成するには脅威の所在についての理解が徹底される必要があります。また新たな技術やツールを導入する際には、セキュリティーを最重要課題としなければならないのです。サイバー犯罪者はすでにブロックチェーンの利用者および新技術導入時の脆弱性に対する攻撃で成功を収めているため、我々もそれに応じて準備しなければなりません。
※ドル=米ドル
※本ページの内容は、2018年6月13日(US時間)更新のMcAfee Blogの内容を一部編集しています。
原文:Threat Report: Don’t Join Blockchain Revolution Without Ensuring Security
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
