BTCへのサードパーティ攻撃リスクを軽減
仮想通貨ビットコイン開発者のカール・ドン氏が、フィッシング攻撃を防ぐため、ビットコインネットワークの改善に取り組んでいる。
特に、フィッシングはユーザーがソースコードをダウンロードする際に起こるため、ドンの提案する変更は、サードパーティ攻撃のリスクを軽減するものだ。
ビットコインはオープンソースであることに伴い課題もある。エンドユーザーが、実際のソースコードを反映していない間違ったソフトウェアをダウンロードしてしまうこともその一つと指摘。この問題を軽減するために、BTCネットワークは2016年にGitian Buildingを導入してビルド環境を標準化、再現可能なビルドを可能にした。
つまり、ビットコインが新しいアップデートをリリースするときはいつでも、ユーザーが同一のファイルでGitianの構築プロセスを実行。出力を互いに比較し、ハッキングされたコンピューターがないことを確認するとの流れだ。
「Ubuntu」への依存が問題
しかしドン氏によると、一部のユーザーはサーバーからブラインドダウンロードするツールを使用しているため、悪意のある攻撃を完全に排除できるわけではない。
ドン氏は、ビットコインビルドシステムの現在の標準化環境は、デスクトップLinuxオペレーティングシステムであるUbuntuに大きく依存しているため、サードパーティ攻撃のリスクは依然として存在すると語った。
環境構築のためには、Ubuntuから監査不能なバイナリをダウンロードしなければならない。そこで、誰かがUbuntuのインフラを攻撃しようとする場合、バイナリに脆弱性を挿入し、すべてのビットコインコアを汚染する可能性もあると警鐘を鳴らしている。
バイナリシードを分析して監査可能に
この問題に対処するため、ドン氏のプロジェクトは、ビルドを再現可能にするだけでなく、自動実行する機能(ブートストラップ)も可能にすることで脆弱性に対処できると主張。つまり、開発者はサードパーティからダウンロードするのではなく、より軽量なツールを使用してコンパイラを構築することになる。
現在広く使われているバイナリシードは大きすぎて情報を監査できないが、ドン氏が提案した変更により、そのサイズを200メガバイト以上から約500バイトに削減できる。
大幅にサイズを縮小することにより、開発者はバイナリシードを分析しながら、ビルドを再現することが可能。ドン氏のプロジェクト進捗はGitHubに公開されており、来年中にはプロジェクト全体を完了する予定だという。
フィッシング詐欺とは
フィッシング詐欺とは、送信者を詐称したEメールを送りつけたり、偽のEメールから偽のホームページに接続させたりするなどの手法で、クレジットカード番号、口座情報(ユーザID、パスワード等)といった重要な個人情報を盗み出す行為のことを言う。