日本銀行金融研究所は12月9日、日本銀行本店内で「暗号資産のセキュリティ」と題してシンポジウムを行った。ジョージタウン大学リサーチ・プロフェッサーの松尾真一郎氏が暗号資産のセキュリティの全体像について説明したほか、筑波大学の面和成准教授がビットコインやイーサリアムのブロックチェーンの汚染について各種のデータを紹介し、汚染攻撃が容易な点を指摘、警鐘を鳴らした。
「決済など支払い以外のセキュリティが課題」松尾氏
情報セキュリティ・シンポジウムの一環で、21回目の開催。金融研究所は日本銀行の内部組織で、金融経済の理論、制度、歴史に関する基礎的研究の充実を図り、日銀の政策の適切な運営に役立てることなどを目的に活動している。
シンポジウムでは、同研究所の井上広隆・情報技術研究センター長があいさつを述べた後、ジョージタウン大学リサーチ・プロフェッサーの松尾真一郎氏がキーノートスピーチ。暗号資産のセキュリティの全体像について、サトシ・ナカモトのホワイトペーパーを引用しながら、ビットコインを「信頼できる第三者が必要なく、二重支払いできない支払いシステム」と説明した。
ただし現実では、支払いだけではなく取引を確定させる「決済」やその他のアプリケーションが存在すると指摘。取引所からの流出などのインシデントを挙げ、「支払いシステムとしては安全だとしても、それ以外の領域まで安全かどうか分からない」と述べた。
ブロックチューンへの汚染攻撃とは
筑波大学の面和成准教授(システム情報系情報工学域)は、ブロックチェーンの汚染攻撃について説明した。ブロックチェーンの汚染攻撃とは、止まらないP2P分散ネットワークに、“不適切な”データが一度格納されると、事実上変更できないことからくる問題のことだ。
面准教授は海外の論文を例に、ビットコイン・ブロックチェーンには銀行口座や住所などのプライバシー情報やウィキリークス流出事件のバックアップ、無害なJavaScriptなどが格納されていると述べた。
またビットコイン・ネットワークを用いて、DDoS攻撃に使用されるボットネットの通信を実現できるという論文も紹介。「汚染されると、一般のフルノードも全て汚染されてしまう。一般のユーザーも巻き込む点が非常に怖い」と警鐘を鳴らした。
さらに、ビットコインよりも格納できるデータが多いイーサリアムには、金融以外のデータも多く格納されているという。面氏らが2015年7月から18年11月の間に実施した調査では、イーサリアムブロックチェーンに格納されていた153のファイルが非金融データだった。その大半は画像ファイル(jpgやpng)だったが、exeファイル(実行ファイル)も3件含まれていて、「このexeファイルはマルウェアである可能性が高い」と話した(写真参照)。
さらに面准教授は、ブロックチェーン上のデータを検索する際に用いられるエクスプローラーなどのWebサイトから、利用者の端末にダウンロードする感染経路も考えられることを挙げ、汚染攻撃が容易であることを示唆した。
シンポジウムではこのほかに、同研究所情報技術研究センターの宇根正志氏が登壇、ブロックチェーンに関する多様な攻撃手法を紹介した。
「暗号資産は既存IT分野よりセキュリティの複雑性が高い」ISAC鎌田CTO
後半にはパネルディスカッションが行われ、松尾氏や面氏のほか、金融機関同士でセキュリティー対策情報を共有する金融ISAC・CTOの鎌田敬介と、メルペイCTO曾川景介両氏が壇上に。研究を実務に活用する際の課題について議論を交わした。
曾川氏はセキュリティの課題について、「技術だけで解決するわけではない。アカデミアや規制も含めて、一つのテーブルにつくことが必要になる」と指摘した。
金融機関によるサイバーセキュリティに関する情報の共有及び分析を行なっている一般社団法人、ISACの鎌田氏は、暗号資産のセキュリティについて、伝統的な金融とは用語が異なると指摘。「(暗号資産は)既存のIT分野よりも複雑性が高いので、全体のハブになる人が現れないといけない」と訴えた。
セキュリティの国際標準について、松尾氏は「新たな攻撃が次々と出てくるため、国際標準を作る段階ではない。現時点のスナップショットを作るに止まる」との認識を示した。
文・写真:小西雄志
編集:濱田 優