5月19日、奇虎360のリサーチャーがブロックチェーンベースのプラットフォームEOSに一連の脆弱性を発見、参加ノードがリモートコントロールされる恐れがあると発表しました。そのわずか4日前には、IoTプラットフォームHDACのマイニングプールサーバーが危険にさらされ、大変多くのマイナーがその影響を受けました。1月には、仮想通貨取引所Coincheckで最大の仮想通貨窃盗が発生、その結果日本円で約580億円(5億3200万ドル)相当のNEMの損失がありました。
人気と利益の上昇をうけ、サイバー犯罪者はブロックチェーンに関連する、ありとあらゆるものをターゲットにしています。 マカフィーのAdvanced Threat Research(ATR)のアナリストチームは、ブロックチェーンへの脅威に関するレポート(McAfee Blockchain Threat Report)を発行、ブロックチェーン技術の利用・導入者に向けて最新の脅威の現状を報告しています。
ブロックチェーンとは何か?
ブロックチェーン技術について聞いたことがない人でも、同技術を用いた仮想通貨、中でも最も普及しているビットコインについては聞いたことがあるのではないでしょうか。2017年末には、ビットコインは1コイン当たり2万ドルに達し、サイバー犯罪者を含む多くの人々が同通貨に関心を持つようになりました。仮想通貨は、ブロックチェーン技術により実現されています。複数の参加者が分散して取引を記録することにより、参加者同士はお互いに信頼していないにも関わらず、信頼できる取引台帳の維持が可能になります。取引台帳の各ブロックはそれぞれ次のブロックにリンクされ、チェーンを形成します。そのため、このシステムはブロックチェーンと呼ばれています。このチェーンのおかげで、外部に記録された情報に頼ることなく取引の正当性を信頼することができます。これが、ビットコインなどの分散型台帳を実現している仕組みです。
ブロックチェーンへの攻撃
サイバー攻撃者は消費者や事業者を対象にこれまで様々なサイバー攻撃方法を使用してきました。 主要な攻撃経路には、フィッシング、マルウェア、新技術やツール導入時に発生する脆弱性およびブロックチェーン技術そのものへの攻撃等があります。 1月に発生したフィッシング事案では、数ヶ月続いた攻撃によって、仮想通貨のIOTAが400万ドルの損害を被りました。攻撃者は次々とターゲットを変えていきます。 2017年後半から2018年初めにかけて、その一部はランサムウェアからマイニングに移行し急激に増加しました。 彼らはオープンソースのマイニングツールやブラウザベースのマイニングサービスを攻撃に利用していることが明らかになっています。
新しい技術やツールがブロックチェーン上に構築されたときに脆弱性が生じる場合もあります。最近のEOS攻撃はその一例です。 2017年7月中旬、IOTAに対して行われた攻撃は基本的にどんなウォレットからでも盗めるという性質のものでした。 別の仮想通貨Vergeに発見された多数の脆弱性は、処理能力を一切使わずにマイニングを行うことを可能にしました。
ブロックチェーン技術の中核への攻撃は、まったく効かないというわけではありませんが、実行するのはずっと困難になります。最も広く知られている攻撃は、51%攻撃、または多数派攻撃と呼ばれ、攻撃者は自力で独自のチェーンが作成できます。51 Crewとよばれるグループは、Kryptonなどの小規模な仮想通貨を対象とし、身代金要求を行いました。シビル攻撃 と呼ばれる別の攻撃では、標的となった被害者の元帳を完全に制御できます。 2016年のケースのように大規模なシビル攻撃の試みもなされています。
辞書攻撃
ブロックチェーンは比較的新しい技術かもしれませんが、だからといって旧式の攻撃が有効でないわけではありません。 たいていの場合利用者のセキュアでない行為が原因で、辞書攻撃はブロックチェーンでも有効です。 ブレインウォレットなどパスワードのセキュリティが弱いウォレットは安全性が低いにも関わらず、依然として利用されています。 これらのウォレットは頻繁に窃盗被害にあっており、以下のウォレットからは60BTC近くが盗まれました。
取引所への攻撃
ブロックチェーンに関連する企業の中でも特に重要で最大の標的になるのが、仮想通貨取引所です。 取引所は、利用者が口座を作成し、金銭の管理や通貨の取引を行う場所という意味では、銀行のようなものと考えることができます。 最も悪名高い事件の1つに、2011年から2014年の間に発生したマウントゴックスのインシデントがありますが、結果としてビットコイン4億5,000万ドル相当が盗まれ、同社の取引所の閉鎖につながりました。 前述のCoincheckはその後経営主体は変わったものの生き残り、2018年3月に被害者に対する払い戻しを開始しました。しかしすべての取引所が順調に立ち直ったわけではありません。ポーランドのBitcurexは急に閉鎖され、詳細に関する公的な調査が始まりました。Youbitは2回の攻撃を受けて、倒産に追い込まれました。
まとめ
ブロックチェーン技術とその利用者は、収益を重視するサイバー犯罪者のターゲットとなっています。攻撃者は戦術を変更し、また新しいグループがその隙間に参入してきます。より多くの企業がビジネス上の問題解決のためにブロックチェーン技術に目を向け、消費者がますますこれらのテクノロジーに依存する中、適切なリスク管理を達成するには脅威の所在についての理解が徹底される必要があります。また新たな技術やツールを導入する際には、セキュリティを最重要課題としなければならないのです。サイバー犯罪者はすでにブロックチェーンの利用者および新技術導入時の脆弱性に対する攻撃で成功を収めているため、我々もそれに応じて準備しなければなりません。
※ドル=米ドル
※本ページの内容は、2018年6月13日(US時間)更新のMcAfee Blogの内容を一部編集しています。
原文:Threat Report: Don’t Join Blockchain Revolution Without Ensuring Security
著者:Charles McFarland
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)