はじめての仮想通貨
TOP 新着一覧 チャート 資産運用
CoinPostで今最も読まれています

仮想通貨取引所ウォレットを狙う「三つの攻撃手法」 暗号学者が脆弱性を指摘 

画像はShutterstockのライセンス許諾により使用

仮想通貨取引所ウォレットを支える仕組みに脆弱性

先週開催された情報セキュリティ関連会議で、仮想通貨取引所が構築するウォレットのセキュリティの仕組みが、弱点となる可能性が指摘された。取引所には高度なセキュリティが必要とされているため、最先端の技術が導入されていることが多いが、その実装の複雑さが新たな脆弱性につながるかもしれないと暗号学者は語っている。

三つの攻撃手法を指摘

公開鍵暗号方式に代わる技術として、分散化された鍵発行と署名のための暗号理論を使った「閾値署名方式(TSS)」が、仮想通貨ウォレットに実装されるケースが急増していると言われている。しかし、比較的新しい技術であり、その複雑さの隙をついた、これまでにない攻撃方法が発見されたという。

オンラインで行われたITセキュリティ業界向けの会議「Black Hat USA」では、KZen Networks共同設立者Omer Shlomovitsが指摘したTSSの実装過程における脆弱性に対し、暗号学者のJean-Philippe Aumassonがさらに詳しく説明する形となった。この脆弱性に対する攻撃手法は次の三つのカテゴリーに分かれるという。

  1. インサイダーによる攻撃
  2. 取引所と顧客の関係を悪用
  3. 秘密鍵生成時の悪用

インサイダーによる攻撃

まず、ある主要仮想通貨取引所が作成したオープンソース・ライブラリの脆弱性をインサイダーが悪用する可能性が指摘された。このライブラリでは、鍵保有者がサイトのリフレッシュ機能のプロセスを操作して、他の部分を変えずに鍵の一部だけを変更したりすることが可能だったという。古い鍵と新しい鍵の部分を統合することはできないが、攻撃者はサービス拒否を引き起こすことによって、取引所が自己資金にアクセスできないようにすることが可能になると指摘された。

また研究者によると、ほとんどの秘密鍵分散型方式では、完全な鍵ではなくても鍵の大部分が正しければ、取引が承認されるように設定されているという。一部が誤って削除されたり破壊された場合でも、完全に鍵が失われないようにするための予防措置だが、攻撃者にとっては格好の恐喝の材料になる可能性もある。

幸い、コードが公開されて1週間で、この脆弱性について研究者がライブラリ開発者に告知したため、おそらくどの取引所もこのライブラリをシステムに組み込むまでには至っていないだろうとのことだ。

取引所と顧客の認証プロセスを悪用

ある鍵管理会社が提供した、オープンソース・ライブラリにも鍵のローテーションに関する脆弱性が発見された。この脆弱性は、取引所と顧客がお互いに行う認証に失敗するというもの。取引所が顧客に誠実でない場合、もしくは密かに攻撃者に侵入された取引所が、複数回の鍵のローテーションにより、ユーザーの秘密鍵を推測することを可能にする恐れがあるという。

なお、この鍵管理会社は、自社製品にはライブラリを使用していないが、他所で使われた可能性も考えられるとのこと。

当事者による鍵生成時の問題

ゼロ知識証明で使用する鍵として、当事者がいくつかのランダムな値を生成する必要がある。研究者が発見したのは、大手取引所バイナンスが開発し、オープンソース・ライブラリにあるプロトコルが、これらの値をチェックしていなかったことだった。(バイナンスによって3月に修正済み)

前出のShlomovitsは、この脆弱性は即座に致命的になると述べている。悪意のある当事者は、鍵生成時に、他の関係者の数値がわかるように仕組まれた特別なメッセージを送り、その後、得られた情報を利用して、全員分の秘密鍵を手に入れることが可能になるという。

バイナンスは顧客に対し、できるだけ早くこのバージョンのTSSライブラリをアップグレードするよう、注意を促した。

困難な攻撃方法

これらの脆弱性を利用した攻撃を実行することは、実際には非常に困難なことだと二人の研究者は認めている。技術に対する専門知識を持っているだけでなく、取引所で特別な立場を利用できることが前提となっているためだ。しかし、広く普及する可能性のあるオープンソース・ライブラリにこのような脆弱性が発見されたことは、その影響力を考えると見過ごすことはできないという。

さらに、分散型鍵方式はセキュリティ対策として有望だが、実装は複雑でミスを犯しやすいため、取引所が実装するにあたり、注意を喚起することも発表の目的の一つだったと述べた。

参考:Wired

CoinPost App DL
注目・速報 市況・解説 動画解説 新着一覧
01/26 日曜日
13:00
今週の主要仮想通貨材料まとめ、XRPコミュニティイベントやミームコインTRUMP乱高下など
前週比で振り返る仮想通貨市場の最新動向。ビットコインやイーサリアム、XRP、ソラナなど主要銘柄の騰落率や注目材料を一挙紹介。市場トレンドと関連ニュースを詳しく解説する。
11:00
週刊仮想通貨ニュース|トランプ氏の準備金に関する大統領令に高い関心
今週は、トランプ大統領の公式ミームコイン発行と仮想通貨の戦略的国家準備金に関する大統領令署名、ブラックロックのラリー・フィンクCEOのビットコイン価格予想に関するニュースが最も関心を集めた。
01/25 土曜日
13:35
「TRUMPミームコインは収集品のようなもの」AI・仮想通貨特命官サックス氏
トランプ政権のAI・仮想通貨特命官デビッド・サックス氏が、ビットコインなど仮想通貨に対する規制の方向や資産の分類について話した。
10:22
マイクロストラテジー、ビットコイン戦略に連動した財務再編へ
マイクロストラテジーは1月24日、2027年2月に満期を迎える10億5000万ドル相当の無利子転換社債の全額償還を発表した。ビットコイン価格の上昇に伴う自社株高を背景に、転換社債の早期清算で希薄化リスクを回避する戦略と考えられる。
09:50
米下院、コインベースCEOらから銀行サービス制限について聞き取りへ
米国下院監視委員会が、仮想通貨業界に対する銀行サービス制限の実態調査を開始した。コインベースCEOらに書簡を提出している。
08:55
「BTCは売り圧低下も需要が鈍化傾向に」CryptoQuant
仮想通貨ビットコインは売り圧が低下するも需要が鈍化傾向にあるとCryptoQuantが指摘。また、イーサリアムのパフォーマンスにも言及している。
07:40
マイクロストラテジー、3兆円のビットコイン含み益に対する税金リスクに直面か WSJ報道
マイクロストラテジー社について、約190億ドルの未実現利益に対して15%の課税の可能性があるとの報道があり株価を下落させた。
07:15
XRPやライトコインの現物ETF上場申請、グレースケールなども参入
申請ラッシュに 仮想通貨資産運用企業CoinSharesは24日に米国で、ライトコインの「CoinShares Litecoin ETF」とXRPの「CoinShares XR…
06:55
ナスダック、ブラックロックのビットコインETFで現物償還へ変更申請
米ナスダックはブラックロックに代わり、同社のビットコイン現物ETFの運用方法を現金ではなく「インカインド」(in-kind)方式での償還が可能となるよう変更を求めている。
06:35
ビットコイン準備金は実現するのか? トランプ政権の新たな動き 
トランプ新政権は仮想通貨業界を支持する初期措置を講じたものの、実質的な規制の明確化にはまだ時間がかかる可能性が高いと指摘されている。
01/24 金曜日
15:37
仮想通貨AIエージェント銘柄ai16zとは?特徴・購入方法まで解説
ソラナ AI Hackathonから生まれた注目トークン『ai16z』について解説。a16z提供の開発キット「Eliza」を活用したAIエージェントプロジェクトの特徴や、Raydiumなどソラナ系DEXでの買い方を紹介。AI×ブロックチェーンの新たな展開を探る。
14:00
JPモルガンCEOが銀行秘密法の欠陥を指摘 仮想通貨企業の口座解約の真相とは
米金融大手JPモルガン・チェースのジェイミー・ダイモンCEOは、仮想通貨企業に対する口座解約措置は、銀行秘密法による制約によって余儀なくされたものだと指摘し、規制を見直す時期に来ていると主張した。
13:30
仮想通貨トロン(TRX)とは|今後の将来性とおすすめ取引所
仮想通貨トロン(TRX)の特徴や将来性、取引所情報を詳しく解説。高速な取引処理と低コストを実現する分散型プラットフォームとして、エンターテインメント分野での活用が進む注目の仮想通貨を紹介。
13:25
米SEC、仮想通貨カストディ事業の壁となる「SAB121」ルールを撤回
トランプ新政権下の米証券取引委員会が、仮想通貨カストディ事業への妨げになるとみられたガイドライン「SAB121」を撤回した。
12:00
仮想通貨トランプ(TRUMP)は「どこで買える?」買い方を初心者向けに解説
ソラナで発行されたトランプ大統領公式ミームコイン『TRUMP』について初心者向けに詳しく解説。Phantomウォレットやソラナ系DEXでの買い方、投資リスク、今後の見通しまで説明しています。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
イベント情報
一覧
重要指標
一覧
新着指標
一覧