PH

「ハードウェアウォレットの悲劇的な事件」Hacken CEO ドミトロ・ブドリン氏 インタビュー ②

ドミトロ・ブドリン氏(Dmytro Budorin)はサイバーセキュリティコンサルティングの会社Hackenの共同設立者です。Hackenはブロックチェーンのセキュリティを専門とし、幅広いコンサルティングサービスを提供しています。サイバーセキュリティのリテラシーについての重要性や、ネット上で自分の情報を守るにはどうすればいいか等についてインタビューしました。

インタビュー日 : 2020年11月11日

ハードウェアウォレットの悲劇的な事件

2017年当時、人々はハードウェアウォレットに資産を保管していました。そんな中、大規模なハッキング被害に遭い、ハードウェアウォレットに保管していた約6000万ドル相当の資産を失ってしまった人がいます。

ハッカーは、被害者の使っているウォレットの種類を特定し、そのウォレット用の偽ソフトウェアアップデートを作って攻撃しました。

被害者はアップデートメッセージが、ウォレット公式からのものではないことに気がつきませんでした。しかしメッセージは偽物だったため、ソフトウェアを開いても公式ホームページにつながりませんでした。

ところがそれでも被害者は気が付かずアップデートに対して「はい」をクリックしてしまったのです。

そして数秒後、偽のアップデートがはじまり、偽ウォレットがインストールされ、ウォレット内の全財産が取られてしまいました。被害者は悲惨なことに、間違ってソフトウェアアップデートをインストールしただけで、たった数分で約6000万ドルを失ってしまったのです。

ここで強調しておきたいのは、ライセンスショップから送られてきた公式のもの以外は、絶対にインストールしてはいけないということです。

KYCとユーザーセキュリティ

KYCは個人のセキュリティとは関係なく、通常はユーザーセキュリティ以外の目的で必要になるものです。

例えばですが、ハッカーが私のアカウントをハッキングしてBTCをすべて盗み出してしまったとします。この場合、KYCは私を保護してくれたり、BTCを取り戻すのに役立ったりはしません。私のBTCは戻らず、KYCは助けてはくれないのです。

KYCの主な目的は人々の身元確認です。身元確認をするのは、詐欺師や麻薬密売者、ハッカー、それからマネーロンダリングをしようする人などが、取引所に登録できないようにするためです。

また、取引所が警察と緊密な連携をとることができれば、犯罪者を見つけ出すのにも役立つことが期待されます。しかし今のところは、こういった協力関係はまだそれほど一般的ではありません。

暗号通貨界隈にいる多くの人々は、ブロックチェーンは非中央集権であるべきだからKYCは必要ないと主張します。彼らは自由を望んでいるので、いかなる制約も受け入れたくないのです。

規制と自由のバランス

我々が真に望んでいるものは何か、ということを見定める必要があります。この技術が広く普及するのを望んでいるのか、それとも数千人のユーザーだけが、規制のない状態で使うのがいいのか、ということについて考えていかなければなりません。

この技術が広く普及するためには、最低条件として安全に利用できなければならないというのは明らかです。そしてそのためには、様々な対策と政府による規制が不可欠です。

この点で日本の政府は暗号通貨に対してとても慎重で、取引所に厳しい要件を設けたりしていて、大変いい仕事をしていると思います。日本政府は、各取引所の残高の確認までしています。取引所の残高と、顧客が取引所に預けたお金の額を確認し、その2つが一致しているかどうかチェックしているのです。

一方で、政府の目の届かないような、どこかの島に登録されているような取引所は、背後に何があるのか、誰がいるのか、といったことが一切確認できません。

このような取引所は、人々から預かったお金を使ってしまうかもしれません。そして顧客が預けたお金を出金しようとすると、引き出せるお金がなくなっているのです。

規制と自由との間でバランスをとっていかなければ、将来的に、このような問題が多くおこるでしょう。

取引所は銀行ではない

人々は暗号通貨のリスクを理解しきれていないため、なぜ政府や取引所が厳しい措置をとる必要があるのか、わかっていません。

多くの人は、暗号通貨の取引所は銀行と同じようなもので、預けたお金は必ず返ってくるものだと思っています。しかし実際は、銀行は取引所とは違い厳しい規制があり、問題が起きた時のための様々な対策もあります。

一方、規制が行われていない暗号通貨の取引所は、ハッキングされたり倒産したりしても、全てのお金が失われて全口座が閉鎖されるだけです。そして、もしもそのようなことになっても、政府に助けを求めることはできません。政府は、規制されていないものに対しては何も打つ手がないのです。

したがって、技術の一般普及のためには、政府によるある程度の規制が必要なのです。私も技術の普及には大賛成です。しかし何も規制がないままだと、取引所が被害に遭ったり、または利用者に対して詐欺を行ったりする可能性が高確率で存在します。悪いことが起こるのは時間の問題なのです。

クラウドソースセキュリティとは何か

クラウドソースセキュリティとは、ホワイトハッカーを複数人雇って取引所の脆弱性を検証させるという組織的なセキュリティ検証の手法です。バグバウンティプログラム(バグ報奨金制度)とも呼ばれ、取引所が自ら行うこともあれば、専門のプラットフォームが行うこともあります。

しかし残念ながら、取引所の中にはバグバウンティプログラムを全く実施していない取引所もあります。このような取引所は、自分たちのセキュリティの脆弱性を知らないことになります。したがって我々は、すべての取引所に対して、バグバウンティプログラムの重要性を強調しています。

取引所はリスト化されるとハッカーに狙われる

私達は、各取引所に「Historical Case」というスコアをつけていて、そこから分かるのは、その取引所が過去にハッキングされた経歴があるかどうかということです。

過去に一度もハッキングされたことのない取引所は、この指標が10点満点となります。それ以下の場合は、以前にハッキングされたことがあるか、またはハッキングされた可能性があるということを意味します。

全ての取引所が、毎日ある程度攻撃を受けています。だからこそ必ず注意する必要があります。しかし、多くの取引所がCoinMarketCapやCoinGeckoのリストに入ろうとしているという現状があります。

CoinMarketCapやCoinGeckoにはかなり厳しい要件があるのですが、取引所がいったんリスト化されれば、ハッカー集団からの総攻撃にさらされます。

取引所のセキュリティが弱いと、たとえばバグバウンティプログラムを実施していないような場合だと、ハッカーの攻撃を受ければ、お金をすべて取られてしまいます。

ハッカーたちは、CoinMarketCapやCoinGeckoなどに新しくリスト化される取引所を全て監視しています。新しく出てきた取引所は格好の獲物なので、よってたかってハッキングしようとするのです。

Hackenチームによる取引所のセキュリティチェック

我々は取引所に口座を開設して入金することで、取引所のセキュリティレベルをチェックしました。こうして取引所のセキュリティレベルに関するレポートを作成し、後で取引所に手渡すことができます。

我々は取引所の機能をじっくり観察しますので、我々のレポートというのは、実は何千時間もの時間をかけて作成されています。

それから、NFT用のモバイルウォレットランキングを作ることも現在検討しています。NFTは非常に人気が出てきているので、安全に使えるウォレットを探すことができる、役立つリサーチ用のサイトを作りたいと考えています。

・Server Security(サーバーセキュリティ)

サーバーセキュリティというのは、取引所が中心のインフラをどうやって保護しているのかということです。

たとえば、サーバーシステムの証明書対策に弱点があった場合、サーバーにある全ての要素が危険にさらされることになります。このことによって巨額の被害が発生する可能性があります。

だからこそ、対策として、取引所のサーバーセキュリティを検証するのです。

・User Security(ユーザーセキュリティ)

取引所を作る際には、まずユーザー登録用のパズルを作成しなければいけません。

このパズルは、たとえばたった4~5回分のクリックで登録できるようなごく簡単なものにすることもできます。または、たくさんの異なる層を用意して承認作業を難しくし、セキュリティーを堅くすることもできます。

堅いセキュリティだと、4~5回のクリックだけでは口座を開設することができなくなります。口座を開設して取引ができるようになるまで、かなり時間がかかるようになります。

取引所の中には、参入ハードルを下げるために簡単な承認作業を選ぶところもあります。残念なことですが、横着をしてしまい、ユーザーに必要な保護を設定してない場合があるのです。必要な保護とは、たとえば厳格なパスワード要件や2段階認証、そしてユーザーがコンピュータでないことを確認するCAPTCHAなどです。

・CAPTCHA

CAPTCHA(キャプチャ)はブルートフォースアタックへの対策として重要です。ブルートフォースアタックとは、ハッカーが同じメールアドレスに対して総当たり式で、無限に異なるパスワードでログインを試みることです。

CAPTCHAを設定していない取引所は、ブルートフォースアタックに対して耐性がありません。しかし全部の取引所の内の約半数は、CAPTCHAを設定していないのです。

我々の行う監査について

我々は通常、スマートコントラクト監査やDeFi監査を実施しています。監査ではハッカーの行動を模倣して攻撃することで、スマートコントラクトやDeFiプロジェクトのプロトコルの脆弱性を見つけ出すことができます。

この監査では、スマートコントラクトやプロトコルの条件を引き受けるために使用されたコードも、開発者によって精査されます。監査結果は報告書にまとめられ、これによって潜在的なバグやセキュリティの弱みを事前に特定することができるようになります。

2020年における暗号通貨業界の弱点

現在最も脆弱な領域はDeFiだと思っています。PRやマーケティングの参入が非常に多いからです。多くの人は技術についての知識がなく、トークンスワップのコードをコピペすることでお金を設けることができると思っています。実際にはそんなに簡単なことではありません。

利用者としては、DeFiプロジェクトに投資する前に、背後にあるものについてしかるべき下調べを行う必要があります。しっかりと調べていないものに対して投資するのは得策ではありません。Defiの分野は、簡単に損をしてしまいやすいのです。

インタビュー・編集: Lina Kamada

翻訳: Nen Nishihara

     

【免責事項】

本ウェブサイトに掲載される記事は、情報提供を目的としたものであり、暗号資産取引の勧誘を目的としたものではありません。また、本記事は執筆者の個人的見解であり、BTCボックス株式会社の公式見解を示すものではございません。