はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

仮想通貨取引所ウォレットを狙う「三つの攻撃手法」 暗号学者が脆弱性を指摘 

画像はShutterstockのライセンス許諾により使用

仮想通貨取引所ウォレットを支える仕組みに脆弱性

先週開催された情報セキュリティ関連会議で、仮想通貨取引所が構築するウォレットのセキュリティの仕組みが、弱点となる可能性が指摘された。取引所には高度なセキュリティが必要とされているため、最先端の技術が導入されていることが多いが、その実装の複雑さが新たな脆弱性につながるかもしれないと暗号学者は語っている。

三つの攻撃手法を指摘

公開鍵暗号方式に代わる技術として、分散化された鍵発行と署名のための暗号理論を使った「閾値署名方式(TSS)」が、仮想通貨ウォレットに実装されるケースが急増していると言われている。しかし、比較的新しい技術であり、その複雑さの隙をついた、これまでにない攻撃方法が発見されたという。

オンラインで行われたITセキュリティ業界向けの会議「Black Hat USA」では、KZen Networks共同設立者Omer Shlomovitsが指摘したTSSの実装過程における脆弱性に対し、暗号学者のJean-Philippe Aumassonがさらに詳しく説明する形となった。この脆弱性に対する攻撃手法は次の三つのカテゴリーに分かれるという。

  1. インサイダーによる攻撃
  2. 取引所と顧客の関係を悪用
  3. 秘密鍵生成時の悪用

インサイダーによる攻撃

まず、ある主要仮想通貨取引所が作成したオープンソース・ライブラリの脆弱性をインサイダーが悪用する可能性が指摘された。このライブラリでは、鍵保有者がサイトのリフレッシュ機能のプロセスを操作して、他の部分を変えずに鍵の一部だけを変更したりすることが可能だったという。古い鍵と新しい鍵の部分を統合することはできないが、攻撃者はサービス拒否を引き起こすことによって、取引所が自己資金にアクセスできないようにすることが可能になると指摘された。

また研究者によると、ほとんどの秘密鍵分散型方式では、完全な鍵ではなくても鍵の大部分が正しければ、取引が承認されるように設定されているという。一部が誤って削除されたり破壊された場合でも、完全に鍵が失われないようにするための予防措置だが、攻撃者にとっては格好の恐喝の材料になる可能性もある。

幸い、コードが公開されて1週間で、この脆弱性について研究者がライブラリ開発者に告知したため、おそらくどの取引所もこのライブラリをシステムに組み込むまでには至っていないだろうとのことだ。

取引所と顧客の認証プロセスを悪用

ある鍵管理会社が提供した、オープンソース・ライブラリにも鍵のローテーションに関する脆弱性が発見された。この脆弱性は、取引所と顧客がお互いに行う認証に失敗するというもの。取引所が顧客に誠実でない場合、もしくは密かに攻撃者に侵入された取引所が、複数回の鍵のローテーションにより、ユーザーの秘密鍵を推測することを可能にする恐れがあるという。

なお、この鍵管理会社は、自社製品にはライブラリを使用していないが、他所で使われた可能性も考えられるとのこと。

当事者による鍵生成時の問題

ゼロ知識証明で使用する鍵として、当事者がいくつかのランダムな値を生成する必要がある。研究者が発見したのは、大手取引所バイナンスが開発し、オープンソース・ライブラリにあるプロトコルが、これらの値をチェックしていなかったことだった。(バイナンスによって3月に修正済み)

前出のShlomovitsは、この脆弱性は即座に致命的になると述べている。悪意のある当事者は、鍵生成時に、他の関係者の数値がわかるように仕組まれた特別なメッセージを送り、その後、得られた情報を利用して、全員分の秘密鍵を手に入れることが可能になるという。

バイナンスは顧客に対し、できるだけ早くこのバージョンのTSSライブラリをアップグレードするよう、注意を促した。

困難な攻撃方法

これらの脆弱性を利用した攻撃を実行することは、実際には非常に困難なことだと二人の研究者は認めている。技術に対する専門知識を持っているだけでなく、取引所で特別な立場を利用できることが前提となっているためだ。しかし、広く普及する可能性のあるオープンソース・ライブラリにこのような脆弱性が発見されたことは、その影響力を考えると見過ごすことはできないという。

さらに、分散型鍵方式はセキュリティ対策として有望だが、実装は複雑でミスを犯しやすいため、取引所が実装するにあたり、注意を喚起することも発表の目的の一つだったと述べた。

参考:Wired

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
11:45
パクソス、ステーブルコインUSDGを欧州全域でローンチ サークルとの競争激化
パクソスが米ドル建てステーブルコインUSDGをEU全域で発行開始した。MiCA規制に準拠している。合計30か国に展開しており、ステーブルコイン時価総額ランキングでは15位だ。
11:10
ナスダック上場DeFi Development Corp、1億ドル転換社債発行 ソラナ蓄積戦略を拡大
米初のソラナ準備金戦略企業DeFi Development Corpが1億ドル転換社債の私募発行を発表。調達資金でSOL購入継続、バリデータ運営による複利成長を目指す。
10:50
上場企業のビットコイン購入がETF上回る、2025年上半期24万超BTC取得で4倍以上増
2025年上半期に世界の上場企業が仮想通貨ビットコインを24万5510BTC購入しETF保有数の2倍超。前年同期比約5倍増でマイクロストラテジー戦略が拡散、企業準備金としての位置づけが確立された。
10:30
米SEC、仮想通貨ETFの上場基準を策定か 審査迅速化に期待
米証券取引委員会が、ビットコインなど仮想通貨ETF向けの汎用上場基準策定を検討していると伝えられる。19b-4様式省略により審査迅速化が期待される。
10:20
ETH1万ドル到達は『義務』と表明、イーサリアムに新組織誕生
仮想通貨イーサリアムに、イーサリアムコミュニティ財団という新たな組織が誕生。公式サイトで、イーサリアムの価格に特化した組織であると説明している。
07:55
NYSE上場DDCが760億円調達完了、ビットコイン準備金戦略を本格始動
アジア食品ブランド運営のDDC EnterpriseがNYSE上場企業として最大規模の仮想通貨専用資金調達を実施。Anson Fundsらから総額5億2800万ドルでビットコイン準備金構築へ。
07:25
XRP戦略推進へ、ナスダック上場のWebusが1億ドル調達合意
ナスダック上場のWebusがリップル・ストラテジー・ホールディングスと1億ドルの資金調達契約を締結。仮想通貨XRPを活用した事業戦略推進により株価が日中130%上昇も最終的には8%反落。
07:15
「ビットコインが25年に20万ドルへ到達するとの予測は維持」Bitwise
仮想通貨運用企業Bitwiseは、2025年の10の予測に対する中間評価を公開。ビットコインが20万ドルに到達するとの予測は維持することなどを記載した。
06:50
ストラテジーのビットコイン循環戦略、NAV超プレミアムを正当化か=TD Cowen分析
ストラテジーの株価は純資産価値(NAV)を大きく上回って推移。継続的な株式発行が1株あたりのBTC保有を押し上げる構造が、投資家の注目を集めている。アナリストはその持続性とリスクに着目している。
06:12
ビットコイン利確が加速 第3四半期は過去最弱の季節性=アナリスト分析
仮想通貨ビットコインの利確が進む一方、市場は方向感に欠ける展開。第3四半期は過去最弱の季節性もあり、アナリストは地政学リスクや米金融政策の不透明感に警戒を示している。
05:50
トランプ大統領の「大きく美しい法案」上院可決も、仮想通貨少額免税案は見送り
トランプ政権が推進する大型予算法案に、仮想通貨の少額免税や報酬課税見直しの修正案は含まれず。ルミス上院議員は今後の再提出を示唆し、業界団体もロビー活動を継続する構え。
05:37
米SEC、ビットコインやXRPに投資するグレースケールの仮想通貨ファンドETF化を承認
米証券取引委員会(SEC)は、グレースケールのバスケット型ファンドのETF転換を加速承認。構成資産の約8割をビットコインが占めており、今後の仮想通貨ETF全体に追い風となる可能性も。
07/01 火曜日
16:00
UXLINKが実現目指すWeb3の大衆化、CEOが語る成長戦略|WebXスポンサーインタビュー
5500万人のユーザーを擁するWeb3成長支援プラットフォーム「UXLINK」。WebX 2025への参加を控え、同社CEOが日本市場への期待を述べた。
14:49
日本初の仮想通貨建てクレジットカード「Slash Card」が登場 β版の事前登録開始へ
日本初の暗号資産建てクレジットカード「Slash Card」がβ版の事前登録を開始する。米ドル連動型ステーブルコインUSDC担保サービスで物理・バーチャル両対応。ソラナやイーサリアムなどマルチチェーン互換性とトークン還元リワードを特徴とし、Web3技術を現実世界の決済に橋渡しする。
13:30
ビットコイン需要減少で市場脆弱性指摘、イーサリアム大口投資家は巨額含み損で売却継続=アナリスト
Cryptoquant分析によると、ビットコインのオンチェーン需要指標がマイナス転換し短期調整リスクが高まる。一方でETH大口投資家は3週間で9万5313ETHを償還、4260万ドルの含み損を抱える状況。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧