ブロックチェーン

ブロックチェーン(分散型台帳技術)は、ネットワーク上で、取引情報などのトランザクション情報をブロックという単位で共通化し、ブロックをチェーンとして繋ぎ、ネットワーク全体でただ一つの台帳を共有する技術であり、一種の分散データベースである。過去の取引や契約等の実行履歴をすべて記録・公開する技術であり、Bitcoinに代表される暗号通貨(仮想通貨)やクラウドファウンディング等の基盤技術として利用され、また、貿易の記録、不動産の登記などのスマートコントラクトへの利用が期待されている[1]

ブロックチェーンに新しくブロックを追加するためには、ネットワーク全体のコンセンサス(合意)が必要である。暗号技術による信頼と保証のメカニズムを利用し、新しく追加されたブロックが改ざんされたものでないことをネットワーク参加者が承認する。統計的に有意な数の参加者が承認した時に、コンセンサスが成立し、ブロックチェーンに新しいブロックが追加される(コンセンサス・プロトコル[2])。

ブロックチェーンの設計方針は、パブリック型、パーミッション型の2つに大別できる。

①パブリック型は誰でも参加できるブロックチェーンである(非許可制のシステム)

②パーミション型は、ブロックチェーン自体の系の外に認証・識別の機能を持ち、あらかじめ認証されて識別された人だけが参加できるブロックチェーンである(許可制のシステム)。

暗号通貨

暗号通貨は誰でも参加できるパブリック型のブロックチェーンを基本としている。Bitcoinは暗号通貨プラットフォームの代表例であり、二つのイノベーションをもたらした。その一つは、新しいコンセンサス・プロトコル構成方法を実装したことである。トランザクションに関するハッシュのチェーンをつくり、その長さを生存の基準とする実用的なコンセンサス・プロトコルを開発した。第二のイノベーションは、トランザクション処理を行うノードに価値情報を払い出す機能を実現した。「PoW(Proof of Work)」という手法を用いて、複数のマイナー(計算リソースを提供して取引が正確かどうか検証する人々)で膨大な計算処理のスピードを競わせ、最も早く完了したノードに、チェーンに接続する新しいブロックを生成する権利を与え、報酬として暗号通貨を払い出す機能を持たせた。つまり自律的に発展するかもしれない暗号通貨の可能性を提示したのである。しかし、読者の皆さんもご存じのように、暗号通貨は資金調達を狙うサイバー攻撃の対象となり、2017年頃から大きな社会問題となっている。

暗号通貨への攻撃事案

①ブロックチェーンの安全モデルへの攻撃

これはコンセンサス・プロトコルの仕様のスキやバグを突いた攻撃である。例えば、「ブロックチェーン」の仕様(PoW)のスキをついた攻撃としてBitcoin Gold(BTG)への51%攻撃[3]がある。またVerge(XVG)のバグを突いたTime Warp攻撃[3]もある。国内でもモナコインが、「Block withholding attack」「Selfish Mining」と呼ばれる大規模攻撃でブロックチェーンが書き換えられてしまい、直近のトランザクションが消失した[4]

②認証と鍵管理基盤への攻撃

暗号通貨はオープン系なのでプロトコルに個人識別のための認証機能を組み込む必要がある。Bitcoinアドレス(口座番号)は公開鍵のハッシュ値であり、秘密鍵がBitcoinアドレス「所有」の根拠の役割を果たす。トランザクションの完全性を確保するため、秘密鍵で署名する。しかし、取引所の認証や鍵管理の不備を突かれ、暗号通貨が不正流出した事案は記憶に新しい。NEM580億円の不正流出は、社員PCのウイルス感染が原因と想定され、NEMを管理する社内のサーバに保存されていた「秘密鍵」が窃取された[5]。また、韓国の暗号通貨取引所Youbitがハッキングされ破産申請した事案[6]や、正規ソフトウェア開発会社を装ったサイトから従業員が誤ってアプリケーションをダウンロードしてしまい暗号通貨取引所のシステムがマルウェアに感染した事案[7]もある。これらは、ブロックチェーン自体への攻撃ではなく、一般のエンドポイントやWebサーバ等のセキュリティ問題と同様で、暗号通貨交換所のシステムや管理の不備(鍵管理、IDやパスワード、サーバの脆弱性管理等)を狙った攻撃である。

③暗号通貨の不正マイニング

これは、他人のPCパワーを利用した暗号通貨マイニングや暗号通貨マイニングマルウェアへの感染事例である。トレンドマイクロ社は2018年第一四半期のサイバー犯罪の脅威動向を分析し、その狙いは「ランサムウェア」から「不正マイニング」に移っていると報告している[8]。具体的な事案としては、攻撃者がWebサイトを改ざんし(暗号通貨「Monero」の採掘スクリプト「Coinhive(JavaScriptコード)」を埋め込み)、そのWebサイトを閲覧した人のPCを利用し暗号通貨をマイニングしようとする事案[9]や、Microsoft Server Message Block(SMB)プロトコルの脆弱性を悪用し、SMBを使ってネットワーク上の脆弱なコンピュータを検索し、暗号通貨マイニングのマルウェア「Adylkuzz」を拡散させた事案がある[10]

情報セキュリティや社会インフラへの応用

ブロックチェーンのアイデアで構成されたコンセンサス・プロトコルは画期的な技術であり、社会インフラを構成する技術と考える。暗号通貨自体は攻撃に対するレジリエンスは一般的には高いと考えられているものの[11]、前述の「暗号通貨への攻撃事案」②③の問題は今後増加すると考えられ、さらなる注意が必要である。特に、暗号通貨では署名の秘密鍵を安全に保管するためにワレットを用いるため、共通鍵暗号の秘密鍵を管理・運用する必要があり暗号通貨の機構が有するリスクは通常の通貨の機構が有するリスクに比べて大きすぎるのではないかと、個人的には考えている。

一方、暗号通貨以外の分野へブロックチェーン技術を適用することで、ブロックチェーンが持つ完全性、不変性、可用性等の特質を活かしセキュリティが強化される分野がある。例えば、アイデンティティやアクセス管理(IAM)、データセキュリティ、IoTセキュリティなどへの応用[11, 12, 13, 14]や、パーミション型のブロックチェーンとして電力取引、貿易の記録、不動産の登記、企業間の送金などの社会インフラへの応用がある[15, 16, 17]。HyperledgerはIBMがThe Linux Foundation(LF)とともにブロックチェーン技術の普及に向けて立ち上げた共同研究プロジェクトである。Hyperledgerプロジェクトは、Bitcoinの第1番目のイノベーション(トランザクションに関するハッシュのチェーンの長さを生存の基準とする実用的なコンセンサス・プロトコル)だけを取り上げている。またAmazonもEthereumとHyperledger fabricを利用したブロックチェーンサービスを発表した[18]。今後、これらの分野への応用と発展に期待する。

[1]https://www.nikkei.com/article/DGKKZO34071310Q8A810C1EA4000/

[2]http://web.cs.ucdavis.edu/~peisert/research/2014-OPODIS-BChain.pdf

[3]http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00591/

[4]https://crypto.watch.impress.co.jp/docs/event/1125410.html

[5]https://www.asahi.com/articles/ASL386K55L38ULZU00D.html

[6]https://www.nikkei.com/article/DGXMZO25234320Y7A221C1EA1000/

[7]https://securelist.com/operation-applejeus/87553/

[8]http://blog.trendmicro.co.jp/archives/17460

[9]http://www.itmedia.co.jp/news/articles/1710/11/news084.html

[10]https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

[11]https://www.gartner.com/doc/3792664/innovation-insight-blockchain-security

[12]https://securekey.com/

[13]https://www.factom.com/

[14]https://www.gartner.com/doc/3876011/blockchain-dawn-decentralized-identity

[15]https://www.nikkei.com/article/DGKKZO34071310Q8A810C1EA4000/

[16]https://www.hyperledger.org/

[17]https://www.nikkei.com/article/DGKKZO34071310Q8A810C1EA4000/

[18]https://aws.amazon.com/jp/about-aws/whats-ew/2018/04/introducing-aws-blockchain-templates/

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/