仮想通貨が高騰した2017年4月以降、それまで興味を見せなかった層まで仮想通貨が一般的に認知されるようになりました。現状では、投機目的に注目を集めていますが、ブロックチェーンを要素技術とした新らたな構想やサービスが続々と誕生しています。
しかしながら、その人気や注目度に応じて、仮想通貨関連のサイバー攻撃も急増しています。
仮想通貨関連の被害事例としては、公衆Wi-fiを利用した結果暗号化されていないデータが流れてしまいビットコインを奪われたケース、フィッシング詐欺に引っかかったケース、マイニングツールを仕込まれたケースなど多種多彩です。
しかし、これらの事例についてはWebセキュリティ対策(WAF)で防げたり、セキュア接続していない公衆Wi-fiは利用しないようにしましょうという従来のセキュリティ意識・対策で十分に被害を防ぐことができる事例が多いことも事実です。
日本でも話題になったのは、2014年のマウントゴックス社による流出事件、そして記憶にも新しい2018年1月に発生したコインチェック社による流出事件でしょう。
これらの事件により、ブロックチェーン技術そのものが危ういと誤った認知をした方もいると思いますので、改めて仮想通貨取引所のセキュリティリスクについて考えていきます。
各国で規制強化されている仮想通貨ですが、あくまでも仮想通貨に関する規制強化であってブロックチェーン技術に関しては積極的に開発する方針が出ているほど、有望視されています。
そんなブロックチェーン技術ですが、テクノロジーの真骨頂は分散型の管理体系です。
これによるセキュリティ面のメリットとしては下記が挙げられます。
一方で、現在のITシステムの主流はサーバクライアントシステムという中央集権型の構成になっています。
サーバ(Webサイトなど)という情報が集約されているポイントに、クライアント(利用者側)がアクセスする形態です。
中央集権型は管理面や責任分界が容易であり、現在の社会システムに適合しています。
一方、攻撃者からするとサーバという情報集約ポイントが明確になっているので、分散型やP2Pと言われる構成に比べると一点集中で狙いやすい構成となっています。
なぜ、分散型が強みのブロックチェーンでセキュリティインシデントが多発しているのでしょうか?
それは、ブロックチェーン技術によって分散型ネットワークを構築しているのにも関わらず、仮想通貨取引所という大量に通貨を保有しているポイントが存在していることが原因です。
仮想通貨自体は分散型にもかかわらず、取引所に通貨が集中しているため、結果的に中央集権型になってしまっています。
攻撃者からすると、狙い所が定まるので事前調査から実際の攻撃まで実施しやすい状況になっています。
サーバを直接狙わずとも、社名が分かってさえいれば、標的型メールによってマルウェアを感染させる手口もあります。
このような仮想通貨取引所は中央集権型であるが故に、取引所のセキュリティ意識や運用方法によって、安全性が大きく左右されてしまいます。
昨年より、次世代の仮想通貨取引所としてDEX(分散型仮想取引所)が注目されています。
DEXとは、その取引所自身には通貨を保有せず、単に取引する場所を提供する形態です。
DEXでは利用者のウォレット同士で、直接取引が行われます。
これにより、取引所が直接サイバー攻撃の被害を受けても、利用者の仮想通貨が流出することはありません。
そのため、ブロックチェーン技術の真骨頂である分散型ネットワークの特徴を活かすことができ、従来の中央集権型の仮想通貨取引所リスクを排除した形態となっています。
DEXが普及するに従って、大量の流出事件は減少していくことが予想されます。
ただし、DEXは魔法の取引所ではなく、単に利用者のウォレット同士で直接取引する形態のため、各自でウォレットのセキュリティ対策を講じる必要があり、より高いリテラシーが個人に対して求められてきます。
そのため、どこまで一般利用者までのレベルで普及していくかというのが焦点になってきます。
例えば、ウォレットの秘密鍵をどのように保管するか、またウォレット自体は安全なものか利用者自身で安全を確保していく必要があります。それ以前に秘密鍵とは何かというのを理解していない利用者もいることでしょう。
最近では、ネット通販で販売されていたハードウォレット自体が細工がされている事例がありました。そのため、ネット通販のメルカリ社ではハードウォレットの出品そのものが停止されました。
何が安全か分からなくなってきている現状においては、ハードウォレットを自身で運用していくのが安全なのか、従来型仮想通貨取引所に預ける方が安全なのか、利用者側には判断が難しいのが現状です。
判断が難しいセキュリティリスクに対して発信されている情報を正しく理解していくことが大事と言えます。
仮想通貨取引所はどのような対策を取るべきなのでしょうか?
・仮想通貨取引所への不正ログインを防止する(WAFの導入など)
・仮想通貨取引所のWebアプリケーションの脆弱性を排除する(WAFの導入など)
・秘密鍵は分散型(マルチシグ化)の管理体系になっているか確認する
・その管理・運用方法は適切か確認する
・公共のフリーWi-fiはセキュア接続であるか確認した上で利用する
・ハードウォレットの取得元は信頼できるか確認する
・秘密鍵は安全に運用できているか確認する
・マイニングツールをWebサーバに不正設置される脆弱性が昨年より流行しており、WAFで防げる脆弱性もあるため、必要最低限のWebセキュリティ対策を講じること
・標的型攻撃の対応手順を従業員に徹底教育できているか確認し、教育が足りない場合は早急に取り組む
仮想通貨取引所のセキュリティリスクをきちんと理解し、対策を講じることで自分たちの仮想通貨を守ることができるでしょう。
Webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/05/16執筆、2019/09/25修正・加筆)
この記事と一緒に読まれています
2020.01.10
セキュリティ対策
2019.12.08
セキュリティ対策
2020.02.25
セキュリティ対策