SH

「ハードウェアウォレットの悲劇的な事件」Hacken CEO ドミトロ・ブドリン氏(全インタビュー記事)

ドミトロ・ブドリン氏(Dmytro Budorin)はサイバーセキュリティコンサルティングの会社Hackenの共同設立者です。Hackenはブロックチェーンのセキュリティを専門とし、幅広いコンサルティングサービスを提供しています。サイバーセキュリティのリテラシーについての重要性や、ネット上で自分の情報を守るにはどうすればいいか等についてインタビューしました。

ドミトロ・ブドリン氏

インタビュー日 : 2020年11月11日

ドミトロ・ブドリン氏(全インタビュー記事)

はじめまして、ドミトロ・ブドリンと申します。人々がインターネット上で安心して活動できる場をつくりたくて、サイバーセキュリティコンサルタントの会社であるHackenを立ち上げました。

Hackenは様々なコンサルタントサービスを提供しています。我々はサイバーセキュリティの信者ですが、同時に暗号通貨の愛好者でもあります。我々は世界をより安全な場所にするべく努力しています。

政府から民間へ

2017年にロシアのハッカーがウクライナを攻撃し、ウクライナはウイルス被害に遭いました。世界最大のサイバー攻撃だとも言われています。

私はずっとデロイトで働いていたのですが、自分のつくったAudit BigData SAPソリューションというものを使って、Deloitte CIS Audit Challengeという社内大会で優勝しました。そして私のつくったソリューションは、CIS(旧ソ連の12の共和国からなる独立国家共同体)のオフィスに広く導入されるようになりました。

ウクライナ政府は2014年から2015年にかけて大規模な改革をしたのですが、改革が行われた後、私はウクライナの軍事防衛業界内の幹部を勤めることになりました。こういった経緯から、2017年のウイルス攻撃があった当時、私はウクライナ政府で働いていました。

ウクライナ政府はあまりにも官僚的だったので、チームメンバーと一緒に民間企業で働いて、政府にサービスを提供した方がはるかに効率的だと考えました。

こうして私はHackenを立ち上げました。私が自分の人生でしてきた決断の中で1番良かったのは妻と結婚したことで、Hackenを設立したことは、2番目に良かった決断だと思っています。

ウクライナが受けたサイバー攻撃の実態

2017年のサイバー攻撃をうけて、ウクライナ政府機関のノートパソコンの約4割がウイルスに襲われました。多くの人が被害を受け、多くの情報が失われました。被害が大きくなった原因は、多くの人が共通の1つのローカル勘定ソフトを使用していたことでした。

使用されていた勘定ソフトというのは、政府の確定申告プログラムだったのですが、かなり使いやすいものでした。プログラムを組んだ人たちのことも、個人的に知っています。とても素敵なプログラマーたちです。

残念なことに、この素敵なプログラムがロシアのハッカーに攻撃されて、プログラムのアプリケーションアップデートの中に、マルウェア(悪質なソフトウェア)がインストールされてしまったのです。

開発者はこのことを知らなかったため、新機能をリリースする定期的なアップデートの時期になると、ユーザーにアップデートのインストールを提案しました。そしてインストールを実行され、ウイルスがコンピュータに侵入してしまったのです。

ロシアのハッカーたちはこのマルウェアを2日間起動させて、政府や市民を攻撃しました。被害を受けた人たちは、自分のコンピューターが攻撃を受けているという内容の通知メッセージを見ました。

そして、被害者が指定されたアドレスにBTCを送らないと、ハードドライブ上のすべてのデータが失われるように仕組まれていました。

ハッキング攻撃に遭うのは非常に苦痛

ウイルス自体はそこまで複雑な問題ではありませんでした。最大の問題は、ハッカーがどのようにして人々のコンピュータにウイルスを送り込んだのかという部分でした。ハッカーのアプローチは非常に創造的だったのです。

Petyaと呼ばれるランサムウェア攻撃は暗号化マルウェアの一種ですが、2016年に初めて発見されました。2016年に入ってから様々なタイプのPetyaが見つかり、感染した電子メールの添付ファイルを介して広がりました。

そして2017年6月に新たなPetyaが、ウクライナを攻撃するために使われたのです。さらに後には、世界的なサイバー攻撃に使われるまでに発展しました。

2017年のサイバー攻撃は多くの人にとって大変衝撃的なもので、まさに目の覚めるような教訓となりました。民間の人々は、適切なウイルス予防策について学ぶことを避けてきましたし、政府機関も全く備えがありませんでした。結果としてたくさんの人がデータを失いました。

私は人生で一度だけハッキングに遭った経験があります。もしも骨折するかハッキングされるかだったら、骨折した方がまだいいです。経験上、ハッキングに遭った時の方が痛い思いをしたからです。

ハッカーの次のターゲットは個人

ハッカーたちは、ターゲットを機関から個人にシフトしています。その方が簡単だし継続的に攻撃できるからです。ハッカーは怠け者で、銀行などをハッキングしようとはしません。

個人をハッキングして脅迫する方がより簡単です。屈服してしまう人が多いからです。また、ハッカーに言わせれば、発展途上国の人ほど攻撃しやすいターゲットです。

動き始める若手ハッカーたち

オンラインの世界では、ハッキングがトレンドになりつつあります。数多くのハッキングに関するフォーラムやプラットフォームまであります。特に大規模なのがロシアにあるフォーラムで、そこでは個人をハッキングする方法についてのコースを受講することができます。

多くの14~15歳くらいの子供たちがこういったコースを受け、数ヶ月後には、オンラインで人々をハッキングし始めます。残念ながらこれが現実です。今の世の中は、インターネット上で何でも見つけることができるのです。

ハッキングに関するオンラインサイトやプロモーションは、ロシア語では禁止されていません。こういったウェブサイトを禁止する方法もあるものの、誰も行動を起こしていません。当局はこういった問題に目を向けていないので、同じような事件が世界各国で起こりえます。

エンドユーザーとしてできるハッキング対策

1人のインターネットのエンドユーザーとして我々にできることは、自分で勉強を続けることです。継続して、自分自身を教育するのです。
サイバーセキュリティは、いくつか簡単なルールさえ守れば、それほど難しくありません。簡単なルールとは、アカウントごとに異なるパスワードを常に使用することと、2段階認証アプリケーションを常に使用することです。

いつも同じパスワードを使っている人が多いですが、こういう人ほどハッキングされる可能性が高いです。パスワード管理には、パスワードマネージャーアプリケーションを使うのがおすすめです。

また、パスワードと2段階認証をSIMカードにリンクさせてはいけません。それから、ダークネットの情報が検知できるツールを必ず備えて、データが流出した際には警告を受けとれるようにしておきましょう

これらの基本的なルールを守れば、ハッカーがハッキングしようとした時に、時間と労力を必要とします。そうするとハッカーも「この人はやめよう」となり、別のターゲットを探すでしょう。

Hackenの取り組み

Hackenは2017年、2社の新興のサイバーセキュリティ企業の力で誕生しました。我々は力を合わせ、ブロックチェーンセキュリティ市場で強いプレイヤーになりました。我々が主に行っているのは人々の教育なので、教育に関して様々なアプローチをしています。

多くの取引所は、「当社が最も安全である」とか、「セキュリティは当社の最優先事項である」とは言っているものの、実際には十分な注意を払っていません。

そこで我々は「Crypto Exchange Cybersecurity Ranking Service」というプロジェクトを行っていて、取引所のセキュリティを常に監視しています。こうして、取引所がサイバーセキュリティを向上させるためにどのようなことをしているかという情報を、ユーザーに提供しています。

また我々は「Hacken AI」というアプリケーションをつくっています。Hacken AIは、ユニークな教育プログラムとなっており、個人のユーザーのサイバーセキュリティを最強にするためのアプリです。

Hacken AIは2021年にリリース予定です。ユーザーはHacken AIを通して、アカウントの管理方法やフィッシング対策、プライバシーの強化など、サイバーセキュリティの重要なトピックについて学ぶことができます。つまり、自身の安全を守る方法など、サイバーセキュリティの本質的な基礎知識を得ることができるのです。

今すぐできる対策

最も重要なことは、パスワードのバックアップ方法と、セキュリティレベルについて知ることです。人は怠けがちなので「バックアップ情報については、必要になった時に知ればいい」と思ってしまい、適切な手順の確認をしません。

そしてパスワードや重要情報をスクリーンショットなどに残したりしますが、携帯を紛失してしまったら意味がありません。そうすると、失ってしまった自分の財産を取り返すことができなくなってしまうのです。

たとえばジュエリーなどの高価な買い物をする時は、必ず品物を保護すると思います。本棚などに無造作に置くのではなく、しっかりと金庫のような、信頼できる場所で保管するものです。

パスワードのバックアップについても同じように考えるべきです。スクリーンショットだけでは不十分です。例えば、Hacken AIにはアカウント管理、フィッシング対策、プライバシー保護といった機能があります。このようなパスワード管理機能や情報管理機能を使えば、自分の情報を安全に保管できます。

暗号通貨ユーザーとして注意すべきパスワード管理法

暗号通貨のユーザー、トレーダーとしてやるべきことは、まず最初に10分間時間を使って、あらゆるパスワードの適切なバックアップ方法を考えることです。

ウォレット4、5個もっていて、それらのパスワードをエクセルやワードに記録している場合は安全ではありません。それは非常にリスクの高い管理方法です。紙に記録して非常に安全な場所に保管しておくか、信頼できるメーカーのパスワードマネージャーアプリを使用した方がいいです。

たとえばEvernoteのようなアプリでパスワードを管理している人もいます。そのような人がもしいたら、同じくEvernoteにパスワード情報をバックアップしていた、有名YouTuberのIan Balina氏の事件を思い出してほしいです。

彼は2017年に、YouTubeのライブストリーム動画をやっていた際に、ネット上でハッキング攻撃を受けました。彼の持っていた200万ドル以上のトークンがハッキング被害に遭いました。これは悲惨な事件でしたが、攻撃の手法はいたって単純でした。

Ian Baina氏は自身のウォレットのパスワード情報のバックアップをEvernoteに保存していました。そして彼のパソコンはインターネットに接続されていました。ハッカーはインターネット上でIan Balina氏のメールアドレスを見つけ、そしてダークウェブを駆使してIan Balina氏のパスワードを手にいれたのです。

ハッカーが入手したパスワードは、Ian Balina氏が学生時代に使っていたパスワードだったのですが、ハッカーはそのパスワードをEvernoteで試し、そしてなんとログインできてしまったのです。

結局ハッカーはEvernoteからパスワード情報を得て、ウォレットから200万ドル相当の資産をすべて盗みだしてしまいました。この事件は、パスワードのバックアップは決してオンラインツールにいれてはいけないという教訓だと思います。

セキュリティの高い取引所

様々な人が、取引所を設立しています。しかし残念ながらほとんどの場合、PRビジネスの開発者や、マーケティングビジネス出身の人たちが創業しています。こういった人たちは、宣伝や販売の方法は知っていても、背後にある技術については何も知りません。

しかしごく稀に、BinanceのCZように、ITやテクノロジーの専門家が取引所を設立して運営しているようなケースもあります。このような取引所は、比較的高いセキュリティがあります。

BTCTurkもまた、ITの担当者によって設立された珍しい取引所の1つです。BTCTurkは中東地域最大の取引所で、サイバーセキュリティと取引所のメンテナンスに関して完璧主義者です。ほとんどの取引所は、はじまってからサイバーセキュリティレベルのテストを行いますが、BTCTurkはこのテストを事前に行っていました。

ハッカーは世界各地にいて、様々な場所から日々取引所をハッキングしよう狙っています。BTCTurkも例外ではなく、ハッカーに狙われています。

ハッキングに遭う危険性があるので、取引所を守るための対策を立てる必要があるのです。BTCTurkでは優れたITの専門家が、ハッカーから取引所を守るために懸命に努力しているので、もっとも安全な取引所だというのも納得できます。

トルコには多くのBitcoin愛好家がいて、毎日約3000BTCが取引されています。トルコのユーザーだけで約300億ドル分Bitcoinを保有していると言われていますが、Bitcoinユーザーの数は現在も増加傾向にあります。

ハードウェアウォレットの悲劇的な事件

2017年当時、人々はハードウェアウォレットに資産を保管していました。そんな中、大規模なハッキング被害に遭い、ハードウェアウォレットに保管していた約6000万ドル相当の資産を失ってしまった人がいます。

ハッカーは、被害者の使っているウォレットの種類を特定し、そのウォレット用の偽ソフトウェアアップデートを作って攻撃しました。

被害者はアップデートメッセージが、ウォレット公式からのものではないことに気がつきませんでした。しかしメッセージは偽物だったため、ソフトウェアを開いても公式ホームページにつながりませんでした。

ところがそれでも被害者は気が付かずアップデートに対して「はい」をクリックしてしまったのです。

そして数秒後、偽のアップデートがはじまり、偽ウォレットがインストールされ、ウォレット内の全財産が取られてしまいました。被害者は悲惨なことに、間違ってソフトウェアアップデートをインストールしただけで、たった数分で約6000万ドルを失ってしまったのです。

ここで強調しておきたいのは、ライセンスショップから送られてきた公式のもの以外は、絶対にインストールしてはいけないということです。

KYCとユーザーセキュリティ

KYCは個人のセキュリティとは関係なく、通常はユーザーセキュリティ以外の目的で必要になるものです。

例えばですが、ハッカーが私のアカウントをハッキングしてBTCをすべて盗み出してしまったとします。この場合、KYCは私を保護してくれたり、BTCを取り戻すのに役立ったりはしません。私のBTCは戻らず、KYCは助けてはくれないのです。

KYCの主な目的は人々の身元確認です。身元確認をするのは、詐欺師や麻薬密売者、ハッカー、それからマネーロンダリングをしようする人などが、取引所に登録できないようにするためです。

また、取引所が警察と緊密な連携をとることができれば、犯罪者を見つけ出すのにも役立つことが期待されます。しかし今のところは、こういった協力関係はまだそれほど一般的ではありません。

暗号通貨界隈にいる多くの人々は、ブロックチェーンは非中央集権であるべきだからKYCは必要ないと主張します。彼らは自由を望んでいるので、いかなる制約も受け入れたくないのです。

規制と自由のバランス

我々が真に望んでいるものは何か、ということを見定める必要があります。この技術が広く普及するのを望んでいるのか、それとも数千人のユーザーだけが、規制のない状態で使うのがいいのか、ということについて考えていかなければなりません。

この技術が広く普及するためには、最低条件として安全に利用できなければならないというのは明らかです。そしてそのためには、様々な対策と政府による規制が不可欠です。

この点で日本の政府は暗号通貨に対してとても慎重で、取引所に厳しい要件を設けたりしていて、大変いい仕事をしていると思います。日本政府は、各取引所の残高の確認までしています。取引所の残高と、顧客が取引所に預けたお金の額を確認し、その2つが一致しているかどうかチェックしているのです。

一方で、政府の目の届かないような、どこかの島に登録されているような取引所は、背後に何があるのか、誰がいるのか、といったことが一切確認できません。

このような取引所は、人々から預かったお金を使ってしまうかもしれません。そして顧客が預けたお金を出金しようとすると、引き出せるお金がなくなっているのです。

規制と自由との間でバランスをとっていかなければ、将来的に、このような問題が多くおこるでしょう。

取引所は銀行ではない

人々は暗号通貨のリスクを理解しきれていないため、なぜ政府や取引所が厳しい措置をとる必要があるのか、わかっていません。

多くの人は、暗号通貨の取引所は銀行と同じようなもので、預けたお金は必ず返ってくるものだと思っています。しかし実際は、銀行は取引所とは違い厳しい規制があり、問題が起きた時のための様々な対策もあります。

一方、規制が行われていない暗号通貨の取引所は、ハッキングされたり倒産したりしても、全てのお金が失われて全口座が閉鎖されるだけです。そして、もしもそのようなことになっても、政府に助けを求めることはできません。政府は、規制されていないものに対しては何も打つ手がないのです。

したがって、技術の一般普及のためには、政府によるある程度の規制が必要なのです。私も技術の普及には大賛成です。しかし何も規制がないままだと、取引所が被害に遭ったり、または利用者に対して詐欺を行ったりする可能性が高確率で存在します。悪いことが起こるのは時間の問題なのです。

クラウドソースセキュリティとは何か

クラウドソースセキュリティとは、ホワイトハッカーを複数人雇って取引所の脆弱性を検証させるという組織的なセキュリティ検証の手法です。バグバウンティプログラム(バグ報奨金制度)とも呼ばれ、取引所が自ら行うこともあれば、専門のプラットフォームが行うこともあります。

しかし残念ながら、取引所の中にはバグバウンティプログラムを全く実施していない取引所もあります。このような取引所は、自分たちのセキュリティの脆弱性を知らないことになります。したがって我々は、すべての取引所に対して、バグバウンティプログラムの重要性を強調しています。

取引所はリスト化されるとハッカーに狙われる

私達は、各取引所に「Historical Case」というスコアをつけていて、そこから分かるのは、その取引所が過去にハッキングされた経歴があるかどうかということです。

過去に一度もハッキングされたことのない取引所は、この指標が10点満点となります。それ以下の場合は、以前にハッキングされたことがあるか、またはハッキングされた可能性があるということを意味します。

全ての取引所が、毎日ある程度攻撃を受けています。だからこそ必ず注意する必要があります。しかし、多くの取引所がCoinMarketCapやCoinGeckoのリストに入ろうとしているという現状があります。

CoinMarketCapやCoinGeckoにはかなり厳しい要件があるのですが、取引所がいったんリスト化されれば、ハッカー集団からの総攻撃にさらされます。

取引所のセキュリティが弱いと、たとえばバグバウンティプログラムを実施していないような場合だと、ハッカーの攻撃を受ければ、お金をすべて取られてしまいます。

ハッカーたちは、CoinMarketCapやCoinGeckoなどに新しくリスト化される取引所を全て監視しています。新しく出てきた取引所は格好の獲物なので、よってたかってハッキングしようとするのです。

Hackenチームによる取引所のセキュリティチェック

我々は取引所に口座を開設して入金することで、取引所のセキュリティレベルをチェックしました。こうして取引所のセキュリティレベルに関するレポートを作成し、後で取引所に手渡すことができます。

我々は取引所の機能をじっくり観察しますので、我々のレポートというのは、実は何千時間もの時間をかけて作成されています。

それから、NFT用のモバイルウォレットランキングを作ることも現在検討しています。NFTは非常に人気が出てきているので、安全に使えるウォレットを探すことができる、役立つリサーチ用のサイトを作りたいと考えています。

・Server Security(サーバーセキュリティ)

サーバーセキュリティというのは、取引所が中心のインフラをどうやって保護しているのかということです。

たとえば、サーバーシステムの証明書対策に弱点があった場合、サーバーにある全ての要素が危険にさらされることになります。このことによって巨額の被害が発生する可能性があります。

だからこそ、対策として、取引所のサーバーセキュリティを検証するのです。

・User Security(ユーザーセキュリティ)

取引所を作る際には、まずユーザー登録用のパズルを作成しなければいけません。

このパズルは、たとえばたった4~5回分のクリックで登録できるようなごく簡単なものにすることもできます。または、たくさんの異なる層を用意して承認作業を難しくし、セキュリティーを堅くすることもできます。

堅いセキュリティだと、4~5回のクリックだけでは口座を開設することができなくなります。口座を開設して取引ができるようになるまで、かなり時間がかかるようになります。

取引所の中には、参入ハードルを下げるために簡単な承認作業を選ぶところもあります。残念なことですが、横着をしてしまい、ユーザーに必要な保護を設定してない場合があるのです。必要な保護とは、たとえば厳格なパスワード要件や2段階認証、そしてユーザーがコンピュータでないことを確認するCAPTCHAなどです。

・CAPTCHA

CAPTCHA(キャプチャ)はブルートフォースアタックへの対策として重要です。ブルートフォースアタックとは、ハッカーが同じメールアドレスに対して総当たり式で、無限に異なるパスワードでログインを試みることです。

CAPTCHAを設定していない取引所は、ブルートフォースアタックに対して耐性がありません。しかし全部の取引所の内の約半数は、CAPTCHAを設定していないのです。

我々の行う監査について

我々は通常、スマートコントラクト監査やDeFi監査を実施しています。監査ではハッカーの行動を模倣して攻撃することで、スマートコントラクトやDeFiプロジェクトのプロトコルの脆弱性を見つけ出すことができます。

この監査では、スマートコントラクトやプロトコルの条件を引き受けるために使用されたコードも、開発者によって精査されます。監査結果は報告書にまとめられ、これによって潜在的なバグやセキュリティの弱みを事前に特定することができるようになります。

2020年における暗号通貨業界の弱点

現在最も脆弱な領域はDeFiだと思っています。PRやマーケティングの参入が非常に多いからです。多くの人は技術についての知識がなく、トークンスワップのコードをコピペすることでお金を設けることができると思っています。実際にはそんなに簡単なことではありません。

利用者としては、DeFiプロジェクトに投資する前に、背後にあるものについてしかるべき下調べを行う必要があります。しっかりと調べていないものに対して投資するのは得策ではありません。Defiの分野は、簡単に損をしてしまいやすいのです。

インタビュー・編集: Lina Kamada

翻訳: Nen Nishihara

     

【免責事項】

本ウェブサイトに掲載される記事は、情報提供を目的としたものであり、暗号資産取引の勧誘を目的としたものではありません。また、本記事は執筆者の個人的見解であり、BTCボックス株式会社の公式見解を示すものではございません。