- ブロックチェーン技術の脆弱性
- ブロックチェーンは、現時点で考えられる”最も安全性の高いネットワーク”の内の1つです。 しかし、ある研究者グループは、複数の脆弱性の存在を指摘、リスク要因として概説しています。
ブロックチェーンは本当に安全なのか?
ブロックチェーン(分散型取引台帳技術)の支持者は、複数の当事者によって検証可能であり、改ざん不可能な台帳にトランザクション(取引履歴)やスマートコントラクトを割り当てることに対して、肯定的です。
しかし、最近発表された論文では、ブロックチェーン技術の導入に関して、効率の悪さやハッキング、その他の犯罪行為が行われる「脆弱性」を指摘、警鐘を鳴らしています。
Xiaoqi Li氏、Peng Jiang氏、Xiapu Luo氏(全員香港理工大学)、Ting Chen氏(中国の電子科技大学)、およびQiaoyan Wen(北京大学)によって公表された論文によると、ブロックチェーンにはユーザーが認識しなければならない「複数の脆弱点」が見付かっていると主張しています。
ブロックチェーンがビジネスの一部として普及するにつれて、この新技術に伴う潜在的セキュリティリスクに対する慎重な調査が求められます。
この件について、Li氏と彼の共同著者は、以下のように述べています。
dApps(分散型アプリケーション)の増加につれて、アプリとインターネット間の通信プロセスおける、ブロックチェーンの「プライバシー保護のリスク」はより深刻な問題になる可能性がある。
「コードの難読化、アプリケーションの強化、より信頼性の高いコンピューティングの実行」の課題に対応する技術の採用を強く推奨しています。
研究者らは、ブロックチェーンに関する「重大なリスク要因」を概説しています。
ブロックチェーンにおける”9のリスク”
1:効率と負担の問題
まずはじめに、ブロックチェーン自体の効率は、複雑なコンセンサスメカニズムと無効データで過剰に負担をかけてしまう可能性があります。
Li氏および共同著者は、インターネット上で採用されたコンセンサスの仕組みは、コンピューティングリソースを消費するプログラムであることに注目しています。
例えば、ブロックチェーン上で使用されている最も有名なコンセンサスメカニズムは、研究者が「コンピューティングリソースの浪費」と呼ぶ、Proof of Workです。
彼らは、PoWとProof of Stake(POS)を組み合わせた、より効率的なハイブリッドコンセンサスメカニズムを開発する取り組みをしていると述べています。
さらに、ブロックチェーンは、古くて無駄になりかねない大量のデータからもブロック情報、トランザクション情報、コントラクトバイトコードなどを生成しているような状況です。
イーサリアムにはコードが含まれていないものや、完全に同じコードを含むスマートコントラクトが多く存在しており、大半のスマートコントラクトは展開後に実行されることがありません。
つまり、データのクリーンアップと検出メカニズムは、ブロックチェーンシステムの実行効率を向上させることが出来るでしょう。
2:51%攻撃に対する脆弱性
ブロックチェーンは相互を信頼し、確立するための分散型コンセンサスメカニズムに依存しています。
しかし、コンセンサスメカニズム自体は「51%攻撃の脆弱性」を含有しており、悪意を持った攻撃者が結託した場合、ブロックチェーン全体を支配することすら可能なのです。
さらに正確にいうと、PoWベースのブロックチェーンにおける一人のマイナーのハッシュパワーが50%以上を占めることになった場合、51%攻撃が行われる危険性が生じるのです。
したがって、複数のマイニングプール内でマイニングパワーの集中が起こることで、単一のプールがすべてのコンピューティングパワーの半分以上を制御することになるなど、”気付かぬ内に最悪な状況を招くリスク”も考えられます。
3:秘密鍵のセキュリティー
ブロックチェーンを使用する際、ユーザーの秘密鍵は、第三者機関ではなくユーザーによって作成され、自分自身で管理する「IDやセキュリティ資格」として見なされます。
たとえば、ビットコインブロックチェーン上にコールドストレージウォレットを作成する場合、ユーザーは秘密鍵をインポートする必要があります。
ある攻撃者は、署名プロセス中に十分なランダム性を作成していなかった「ユーザーの秘密鍵」を復元、盗難することに成功しています。
最重要情報である秘密鍵を、万が一紛失してしまった場合、復元することはできません。
ブロックチェーンは一元管理された第三者信頼機関に依存しないため、ユーザーの「秘密鍵」が盗まれた場合、犯罪者の行動を追跡し、変更されたブロックチェーン情報を元に戻すことは現実的に困難です。
4:犯罪行為への不正利用
ビットコインをサポートするサードパーティーの取引プラットフォームと通じて、ユーザーはさまざまな製品を売買することが可能です。
このプロセスは匿名であるため、ユーザーの行動を追跡することは厳しく、法的措置を講じることは容易ではありません。
ビットコインを使用した主な犯罪行為としては、ランサムウェア、ダークウェブでのマネーロンダリングなどが挙げられます。
5:二重支払い
ブロックチェーンのコンセンサスメカニズムは、トランザクション自体を検証することは可能なものの、二重払いの回避や、取引時に同一仮想通貨を複数回使用することに対して、現時点では対策がありません。
攻撃者は、2つのトランザクションにおける、「開始(initiation)と確認(confirmation)」の中間時間を利用して、素早くに攻撃することが可能です。
6:プライバシー漏洩
ブロックチェーンにおけるプライバシー保護対策は、現時点ではそれほど堅牢なものではありません。 犯罪者のスマートコントラクトは、機密情報の漏洩、秘密鍵の盗難など、現実世界におけるあらゆる犯罪(殺人、放火、テロなど)を容易に結び付けてしまうリスクが否めません。
7:スマートコントラクトの脆弱性
ブロックチェーン上で動作するプログラムであるスマートコントラクトは、プログラムの欠陥によるセキュリティーの脆弱性が存在する可能性があります。
ある調査では、19,336件のイーサリアムスマートコントラクトの内、8,833件に対して、
- トランザクションの配列依存
- タイムスタンプ依存
- 例外的な処理ミス
- 直接的な脆弱性
8:スマートコントラクトの最適化
ユーザーが、イーサリアム上にあるスマートコントラクトとをやりとりした場合、一定量のGas(ガス)が課金され、ガスはイーサリアム内の仮想通貨である”Ether”に交換されます。9:価格操作
イーサリアムは、遂行時間、バンド幅、メモリー占有率などのパラメーターに基づいてガス値を設定しています。
一般的に、ガスの値段はオペレーションによって消費されるコンピューティングリソースに比例しますが、個人操作のコンピューティングリソースの消費があるため、ガス価値の一部は適切に設定されているとは言えません。例えば、I/Oバウンドなオペレーションはガスの値段が低すぎるため、一回の取引でこの操作を実行することができるのです。
この方法を使うことで、攻撃者はイーサリアムに対してDDoS攻撃を仕掛けることが出来ます。
9 reasons to be cautious with blockchain
Joe McKendrick March 17, 2018
参考記事はこちらから
CoinPostの関連記事
