取引所のセキュリティ強度は高い?
続いて、喜屋武氏はセキュリティに対する取り組みについて説明した。
「ところで、ブロックチェーンはセキュリティが高いという話をよく耳にするが、実際はどうなのか」。喜屋武氏は誰もが聞いたことのあるフレーズで話を切り出す。
喜屋武氏は、耐改ざん性ではセキュリティ強度が高いと言えるかもしれないと指摘。「過去に遡って改ざんするには、Proof of Workを採用していた場合は、そのブロックチェーン全体の半分以上の計算能力が必要で、Proof of Stakeではステークされた量の半分以上のトークンを攻撃者がステークする必要がある。まったくもって現実的ではない」。
ただし、ブロックチェーンがソフトウェアである以上、脆弱性やバグがつきまとう。2016年6月、事業投資ファンド「The DAO」が資金の約3分の1を流出させる事件があった。「これはブロックチェーン上に実装されたソフトウェアにバグがあり、秘密鍵がなくても暗号資産を送金できてしまったために発生した。こうしたケースでは、取引所側がどんなに対策をしても、どうにもならない」。
では、取引所としてできるセキュリティ対策は何か。
1つは、下記にあげるような一般的な企業ITのセキュリティ対策だ。
- 端末へのAV/EDR製品の導入でマルウェア感染を検知
- CASBで通信内容をモニタリング
- MDMで端末のセキュリティポリシーを適用
- IDaaSを用いた認証/認可のポリシーの適用
- 社内システムの管理者権限など運用ルールの策定
「セキュリティベンダーの調査レポートをよく読むが、取引所への侵入手口の大半はソーシャルハッキングやスピアフィッシングとのこと。マルウェア感染した従業員の端末経由で社内ネットワークに侵入したあと、秘密鍵などを窃取する攻撃もあるという。ブロックチェーン関連の対策をする前に、端末や社内システムのセキュリティ対策を実施することが重要だ」(喜屋武氏)
取引所のサービスにおけるセキュリティ対策も、一般的なWebサービスと同様の対策を実施する。
- IAMの権限管理
- Web Application Firewall
- 脆弱性診断
- 依存パッケージの脆弱性管理
- DDoS対策
- 送金・出勤時の認証
- フィッシングサイトのテイクダウン
なお、「暗号資産取引サービスでは秘密鍵を守れていれば安全という話も聞いたことがあるが、秘密鍵がなくても暗号資産を窃取する攻撃シナリオは多数ある」と喜屋武氏は述べる。たとえば、オフチェーンの場合、ユーザーの残高を管理するDBの脆弱性を利用してDBを改ざんできれば、自分の暗号資産の残高を大量に増やしてから、他取引所などのアカウント口座に送金する攻撃が可能だ。
ほかにも、アプリケーションサーバを乗っ取ることができれば、不正なトランザクションを発行して不正送金することも可能だ。署名システムにトランザクションの中身を検証する機構が実装されていなければ、不正なトランザクションに正規の署名が付与され、そのままブロードキャストされてしまう。
マルチシグネチャ(1つのアドレスから他アドレスへ送金するとき、複数の秘密鍵を使う仕組み)についても、穴はある。たとえアドレスがマルチシグネチャに対応していたとしても、秘密鍵をすべて同じサーバ上で署名し、管理していたら、そのサーバを乗っ取るだけで不正送金ができる。秘密鍵を複数台のサーバに分散したとしても、全サーバが同じネットワークにあり、同じOSとアプリケーションで構成されていれば、乗っ取りの難易度は前述の攻撃とあまり変わらない。だからといって、違うOS、アプリで構成するといっても、構成管理やパッチ管理、メンテナンスなど運用コストが恐ろしいことになる。
「正解は存在しない」。喜屋武氏は言い切る。「私たちにできることは、取引所のエンジニアの数や質によって、自分たちにとっての最適解を考えることだけだ」。
特に悩ましいのは、ヒューマン要素だ。コールドウォレットは、暗号資産交換業者に関する内閣府令 第二十七条3項1号にて、常時インターネットに接続していない電子機器で秘密鍵を管理することが義務付けられている。この管理の部分について、暗号資産の安全対策基準の策定を目的としたCGTF(Cryptoassets Governance Task Force)では、誰が暗号資産の移転指示を出すのか、署名作業は誰がやるのかなどを決めるべきとしている。
「コインチェックは2600億円強(2023年1月末現在)の資産を預かっており、管理担当者は本当に信用できる人でなければならない。それは、誰なのか。そんな人が何人いるのか。コールドウォレットにすれば安全という単純な話ではないのが、難しいところだ」(喜屋武氏)
暗号資産取引サービスの基本を一通り話し終えた喜屋武氏。何となく知っているようで知らなかった取引所への理解が深まる講演となった。
