ブロックチェーンは、本当に安全に利用できる技術なのでしょうか。この記事では、ブロックチェーン技術のセキュリティに関する安全性と課題、想定されるリスクやセキュリティに起因する盗難などの事例、そこから考えられるリスク軽減のための対策について解説します。
目次
ブロックチェーンとは
ブロックチェーン(分散型台帳技術)とは、ネットワーク上でトランザクション(ひとつながりの取引データ)を記録する台帳のことです。ブロックチェーンではトランザクション履歴が共有されるため、従来のシステム(中央集権型)よりも低コストで、改ざんなどのリスクを軽減することができます。
ブロックチェーン技術のセキュリティ面
ブロックチェーンのセキュリティは、暗号化や分散化など、さまざまな技術によって強化されています。
例えば、ブロックチェーンでは過去の取引履歴がすべて記録されています。ブロック(トランザクションのひとまとまり)内の情報を改ざんするとハッシュ値とよばれる値が変化し、その他すべてのブロックに含まれているハッシュ値との間に矛盾が生じます。そのため、ブロック内の情報を改ざんすることはほぼ不可能とされています。さらに各ブロックは暗号化されたチェーンでつながっており、秘密鍵がなければ暗号は解読できないため、取引における安全性も高くなっています。
また、過去の取引履歴をすべてのユーザーで共有している場合(P2P)、1つのサーバーにシステム障害が発生してもシステムを維持することができます。さらにP2Pでは、ブロック追加時に複数のユーザーによる合意形成(Proof of Workなどのコンセンサスアルゴリズム)が行われることで、正当性が担保されています。
ブロックチェーンを活用する際のセキュリティ課題
ブロックチェーンには、パブリック型とプライベート型(コンソーシアム型を含む)があります。パブリック型では誰もがノードをもって参加できます。一方、クローズド型では参加者が限定されます。パブリック型かクローズド型かによってセキュリティリスクの度合いは異なり、パブリック型ではより高いセキュリティレベルが求められます。セキュリティ対策が不十分だった場合、サイバー攻撃によって被害を受ける可能性があるため注意が必要です。
どのようにセキュリティをアプリケーションに適応させるか
ブロックチェーンを活用する際には、悪意のあるユーザーからアプリケーションを保護するためのセキュリティ対策を講じる必要があります。そのためには、アプリケーションにおけるセキュリティの脆弱性に関する情報を集めて、リスクの軽減を図るといった対策が求められます。
どのようにアクセス制御を行うか
アクセス制御とは、特定のユーザーのみが特定の情報にアクセスできるように制御する仕組みのことです。ブロックチェーンを活用する際には、セキュリティを保証するためにアクセス制御のメカニズムを構築する必要があります。
ブロックチェーンに対する想定攻撃手段
ブロックチェーンはその管理方法やデータ構造上、改ざんされにくくなっています。さらに、暗号化や分散化、スマートコントラクト(特定の条件を満たすと所定の処理が自動的に実行される)など、さまざまな技術によってセキュリティが強化されています。一方で、ブロックチェーン固有の脆弱性もあります。例えば、以下のような攻撃を受けることが想定されます。
ユーザーIDの搾取
フィッシング攻撃などにより、ユーザーIDが盗まれる可能性があります。ユーザーIDが盗まれた場合、なりすましによって不正な取引が行われるリスクが発生します。
不正な送信者と受信者
悪意のあるユーザーによって、不正なノードが設置される可能性があります。不正な送信者や受信者が設置された場合、取引が妨害されるなどのリスクが発生します。
資産/ノードの盗用
他のユーザーになりすました悪意のあるユーザーによって、資産やノードなどに不正アクセスされる可能性があります。なりすましによって資産やノードが盗用され、不正な取引が行われるといったリスクが発生します。
悪質なコードの分散型台帳への挿入
ノードに悪質なコードが挿入される可能性があります。これにより、悪質なコードがネットワークの他の箇所に増殖するといったリスクが発生します。
ブロックチェーンに対するセキュリティ事例
2018年5月、ビットコインゴールド(BTG)が51%攻撃を受け、計38万8,000BTG(当時のレートで約20億円相当)の被害を受けました。同年の5月までに、モナコインも51%攻撃や類似の手法による攻撃を受け、推定約1,000万円の被害を受けています。
51%攻撃とは、特定のノードが50%以上のマイニング(トランザクションデータの検証などに協力し、報酬として仮想通貨を得ること)を行うことで、トランザクションを不正に操作する攻撃のことです。これにより、二重支払い(使用済みの暗号資産を使って二重に送金されること)などが行われます。ビットコインゴールドは2020年1月にも51%攻撃を受け、2回にわたって二重支払いが行われましたが、不正に支払われたBTGはリスク管理システムによって、その後取引所に戻されたと説明されています。
取引所のシステムや管理の不備が原因となり、攻撃を受けた事例もあります。約580億円のNEMが不正流出した2018年の事例では、社員のPCをウイルスに感染させることで、遠隔操作により社内のサーバーに保存されていた秘密鍵が盗み取られた可能性が示されました。
さらに、不正なマイニングやマイニングのマルウェアによる攻撃も確認されています。改ざんされたWebサイトを閲覧したユーザーのPCを利用してマイニングしようとする事例や、プロトコル(コンピューターネットワークで通信を行う際の手順やルールのこと)の脆弱性を悪用してマイニングマルウェアを拡散させた事例があります。不正なマイニングは、取引履歴を作為的に削除するなど、P2Pネットワークが不正に操作される原因となります。
(参考:ビットコインゴールド(BTG)が51%攻撃を受け20億円流出か)
ブロックチェーンで取り組むべきセキュリティ対策
セキュリティの面から、ブロックチェーンを活用する際に取り組むべき対策として以下の4つが考えられます。
コンセンサスアルゴリズムの変更
コンセンサスアルゴリズムを、PoS(Proof of Stake:暗号資産の保有量が多いほど承認権限を得やすい仕組み)やPoA(Proof of Authority:決められた承認者が承認する仕組み)などに変更しておきます。これにより、51%攻撃を防ぐことができます。コンセンサスアルゴリズムの変更の他に、ネットワークへの参加を許可制にするといった対策も有効です。
マルチシグ
トランザクションの署名に複数の秘密鍵を用いるセキュリティ技術のことを、マルチシグ(マルチシグネクチャー)といいます。マルチシグにより複数の秘密鍵をもつことで、秘密鍵の漏えいや紛失によるリスクを低減させることができます。ただし、マルチシグでは取引所が攻撃された場合のリスクには対処できません。そのため、取引所側でもセキュリティ対策を講じる必要があります。
コールドウォレットでの保管
コールドウォレット(インターネットにつながっていないウォレット)で保管する方法も、ハッキングなどのサイバー攻撃対策として有効です。ただし、物として保管するため紛失や盗難などに注意する必要があります。
SSLと二段階認証
SSL(Secure Sockets Layer)とは、暗号化されたデータをインターネット上で送受信する仕組みのことです。暗号化することで通信途中に情報が盗み見られることを防ぎます。また、なりすましの防止にも利用されています。SSLや二段階認証の実施は、不正アクセス対策に有効です。
アメリカのブロックチェーンセキュリティへの取り組み
DHS(Department of Homeland Security:アメリカの国土安全保障省)では、2015年12月にブロックチェーンのセキュリティ対策に関する研究提案の公募が行われました。
公募テーマ「プライバシーを尊重したアイデンティティ管理へのブロックチェーン適用可能性」の要項では、第1段階として、パブリックブロックチェーン導入の現状分析を行い、情報セキュリティのCIA(機密性、完全性、可用性)、否認防止(システムの利用やデータの操作などを行った事実を、後から否認できないように証明すること)、来歴、プライバシー概念の導入を実装するための手法などを開発します。第2段階では、第1段階で開発した手法などを基に、アイデンティティ管理の領域(属性など、アイデンティティ情報の前提条件や検証)に適用し、プロトタイプ(試作品)として実装します。そして最終となる第3段階において、商用向けまたは政府向けのアプリケーションを開発します。政府向けアプリケーションでは緊急時対応要員の資格や所属組織などを共有するための属性登録が、商用向けアプリケーションではデジタルコントラクト(電子契約)などが想定されています。
また、公募テーマ「ホームランドセキュリティ分析のためのブロックチェーンアプリケーション」では、第1段階としてDHSの業務を向上させるデータ分析用ブロックチェーン技術アプリケーションを支えるエコシステムの設計やプロトタイピング(プロトタイプを作成して事前検証を行ったうえで開発する手法のこと)を行います。第2段階では、第1段階で開発したプロトタイプをブロックチェーン管理エコシステム向けに拡張し、自国のセキュリティアプリケーションやユースケース(利用者が特定の目的を達成するまでの操作や応答を定義したもの)を反映させたデータをもつ環境下に、プロトタイプやアルゴリズム(問題を解決するための操作手順や計算方法などを定義した手続きのこと)を実装します。そして第3段階において、政府のデータ管理や共有、分析を向上させるブロックチェーン技術のアプリケーションを、商用または政府に向けて開発するという流れになっています。
(参考:ブロックチェーン技術とサイバーセキュリティ|サービス)
まとめ
今回の記事ではブロックチェーンのセキュリティについて国内・世界の市場規模とシェアをご紹介しました。DX案件を探している方、事例を知りたい方は、ぜひfoRProまでご相談ください。