はじめての仮想通貨
TOP
新着一覧
チャート
取引所
WebX
Bitcoin Core初の公開第三者監査
暗号資産(仮想通貨)ビットコイン(BTC)の基盤を支えるオープンソースソフトウェア「Bitcoin Core」が、16年の歴史で初となる公開された第三者によるセキュリティ監査を無事完了した。4ヶ月に及ぶ監査では致命的または深刻な脆弱性は確認されず、300兆円規模に成長したビットコインネットワークの安全性を裏付ける結果となった。
この監査は、ビットコインプロトコル開発を支援する非営利団体Brinkによって支援され、サイバーセキュリティ企業Quarkslabが実施した。Quarkslabのエンジニア3名が、Brinkとビットコイン研究開発会社Chaincode Labsの技術支援を受け、5月から9月にかけて監査に取り組んだが、その作業量は、延べ100人日に相当するという。
Bitcoin Coreは、ビットコインの分散型インフラの基盤を成すソフトウェアで、最初のバージョンは、2009年8月にサトシ・ナカモトによってリリースされた。プロトコル自体が頻繁にアップグレードされることはないが、基盤となるコードは絶えず開発・改良が続けられ、さらなるモジュール化に向けた地道な努力が積み重ねられている。
Quarkslabによると、16年間で実施されたコミット(コード変更の履歴保存)は4万6,000件以上に上るという。(1日平均約8回のコミットに相当)
ビットコインには優れたセキュリティ実績がある一方で、外部機関による包括的なセキュリティ監査はこれまで行われておらず、今回が初めての監査となった。Brinkによると、この監査の目的はBitcoin Coreに「承認やお墨付き」を与えることではなく、脆弱性の発見とテスト手法の改善、そしてコードベース強化のための実用的な方法を特定することだった。
関連:「Bitcoin Core v30.0」リリース、データ制限の引き上げでコミュニティの意見が対立
監査範囲と結果
監査作業の対象は、ビットコインネットワークで外部から最も攻撃されやすいピア・ツー・ピア(P2P)ネットワーク層に重点が置かれた。さらに未承認トランザクションの管理やノード・ブロック管理、コンセンサスや承認ルールなども、合わせて調査された。
検証プロセスでは、手動のコード分析、動的テスト、そして高度なファジング手法が組み合わされた。
ファジングとは
ソフトウェアの脆弱性を発見するためのテスト手法の一つ。ソフトウェアに、意図的に予期せぬデータやランダムなデータ、または不正なデータを大量に入力し、異常な動作やクラッシュを引き起こすかどうかを確認する。
その結果、Quarkslabは低リスクの問題2件と、情報提供に関する13件の推奨事項が確認されたが、いずれもBitcoin Coreの脆弱性の基準において、セキュリティ上の影響を与えるものではないとしている。
一方、監査作業を通して、Bitcoin Coreのテスト基盤には以下のような改善がもたらされたという。
- ブロック接続やチェーン再編成用の新しいファジングハーネスによって、これまでテストされていなかったコード経路を検証
- ファジングを高速化・改善するための仮想ファイルシステムユーティリティ
- ファジングで使用するテストデータセットの強化
- 回帰テスト用の新しいユーティリティ
- スレッド安全性の注釈やコード可読性を改善する具体的な提案
Quarkslabは監査を終えて、「Bitcoin Coreのアーキテクチャ、堅牢性、全体的な完成度は卓越している。」と高く評価している。
Brinkは、今回の監査結果について「長年貢献してきた開発者やユーザーがすでに把握していた内容を裏付けるもの」であり、外部機関による監査はBitcoin Coreへの信頼をさらに高めるに過ぎないと指摘した。また、「Bitcoin Coreは成熟していて、安全志向で設計され、徹底的にテストされたコードベースである」と称賛する一方で、「今回の評価は最終ゴールではなく、ビットコインの安全性をさらに強化するための通過点に過ぎない」と強調した。
関連: ビットコイン売り圧力は中期保有者が主因、長期大口は保有継続=VanEckレポート
