こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
SBINFT株式会社は10月8日、同社が運営するNFT マーケットプレイス「nanakusa」で利用者のウォレットアドレスで所有する、一部NFTの外部流出について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】NFTのマーケットプレイスで、利用者のウォレットから一部のNFTが流出したことについて発表されています。何度か触れさせていただいているNFTですが、改めてセキュリティで気を付けるべきポイントについて説明します。
NFTとは、Non Fungible Tokenの略で、非代替性トークンなどと訳されている、ブロックチェーン上で発行された代わりのないデータです。データは誰でもコピーできることが一般的ですが、ブロックチェーンの技術を応用することで、所有権を証明することができます。
今回のインシデントは、NFTを出品していたユーザからの連絡で発覚したということです。対応として、出品中のユーザへ連絡を行い、出品と購入に対して一時的に制限を行いました。しかし、なぜか攻撃者からNFTの返却があったため、全ての所有者に返却がなされました。その後、一次対応として全機能をメンテナンス状態にした上で、恒久対応のシステム改修が行われたということです。
NFT流出の直接的な原因としては、NFTの購入処理を実行する権限を生成するプログラムに不正アクセスがなされたため、実行権限が不正に奪取されたこととされています。再発防止策として、秘密鍵の暗号化アルゴリズム強化、ACL強化による実行権限の制限、暗号強度そのものの複雑化、また、ブロックチェーンのトランザクションを監視することが挙げられています。
今回のインシデントは、NFTのスマートコントラクトに脆弱性があったことが原因とされています。少し専門的な内容となりますが、できるだけわかりやすく説明します。
スマートコントラクトとは、一定のルールに従って取り引きが自動的に実行される仕組みです。イーサリアムなどの暗号資産でも実装されていますが、過去にはスマートコントラクトにバグがあったことが原因で、不正送金などの甚大な被害が発生した事例があります。
実は、スマートコントラクトはブロックチェーンだけの技術ではなく、よく一例として自動販売機が挙げられます。自動販売機の所有者が商品の販売条件を決め、購入者が販売条件に従って代金を投入して商品のボタンを押すと、自動的に商品が出てくることは皆さんも想像がつくと思います。これが、数十年前に発明されたスマートコントラクトの初歩的な事例です。もし、自動販売機で偽物の通貨が本物と認識されてしまったり、特定のボタンを押すと代金を入れずに商品が購入できてしまうようなバグがあったら、どうなってしまうでしょうか?商品は無制限に盗難されてしまう可能性があります。これがスマートコントラクトの脆弱性です。
スマートコントラクトの脆弱性が原因で発生したブロックチェーンでのインシデント事例として、当時の価値で52億円相当が盗難されたことがありました。また、スマートコントラクトのバグが原因で、当時の価値で150億円相当が今も凍結された状態になっています。今回のインシデントについて詳細は公表されていませんが、スマートコントラクトに何らかの脆弱性があり、攻撃者が販売価格を無視してNFTトークンを任意の価格で購入できたことから、NFTの所有権が移動されてしまったと考えられています。
NFTのマーケットプレイス側で不正流出に気が付くためには、正しい取り引きとブロックチェーン上のトランザクションが一致していることを監視する必要があります。今回の再発防止策でも取られている対策ですが、内容について説明します。
少し難しい話になってしまいましたが、サービスやセキュリティ対策についての正しい知識を身につけ、安全に利用していきたいですね。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ