ブロックチェーン技術はいまや暗号資産取引だけでなく、さまざまなデジタルサービスを支える要となっています。分散型台帳とスマートコントラクトにより、従来のネットワークよりも安全性の高い取引ができるとされているためです。
しかし、ブロックチェーンはリスクのない万全な技術ではありません。実際にハッキングによる暗号資産の流出やデータの改ざん事件が起きています。ネットワークの仕組みを過信せず、セキュリティ対策を実施することが重要です。
この記事ではブロックチェーンのセキュリティリスクや対策について解説します。
目次
ブロックチェーンとセキュリティの関係性
ブロックチェーンのセキュリティは、ネットワークをハッカーから保護するためのリスク管理手順やシステムを指します。
ブロックチェーンはもともと暗号資産の取引を実現するために作られたシステムです。分散型技術と暗号化技術を応用し、さまざまなデジタルサービスに利用されるようになりました。
ブロックチェーンネットワークはその特性から、従来のネットワークよりも安全と言われています。しかし、すべてのサイバー攻撃に対して耐性があるわけではありません。
ブロックチェーンネットワークにおいてもセキュリティ対策を施すことが重要です。
ブロックチェーン自体のセキュリティについて
ブロックチェーンで取引されるデータは一般的に改ざんが困難と言われています。
ブロックチェーン上では複数のデータでひとつのブロックを形成し、各ブロックが暗号化されたチェーンで繋がっているためです。どこかひとつのブロックを改ざんしても、連続したブロックとの整合がとれません。
また、ブロックチェーンの参加者がデータの正当性について合意形成を図る仕組みがあります。ネットワークで繋がった全コンピュータがデータをやり取りすることで、取引履歴が正しいことを相互に保証しているのです。
ブロックチェーンのセキュリティリスク
ブロックチェーンはその特性上改ざんが困難なネットワークです。しかし、すべてのサイバー攻撃を防げるわけではありません。
たとえば、ブロックチェーンに対して実行される攻撃方法の例として次の3つが挙げられます。
順番に解説します。
1. 51%攻撃
ブロックチェーンネットワークのマイニング能力の51%以上を保有することで、台帳を制御する攻撃方法です。
マイニングとは、ブロックチェーン上の取引を承認する作業のことです。複雑な計算を何度も繰り返すことで報酬を得る仕組みとなっています。
規模の大きいブロックチェーンネットワークの場合、マイニングに必要な処理能力は膨大です。しかし、ハッカー集団がマイニングリソースを結集し過半数を掌握すると、ブロックチェーン自体が操作されるリスクがあります。
ただし、プライベート型ブロックチェーンであれば参加者が制限されているため、51%攻撃を警戒する必要はありません。
2. シビル攻撃
複数のアカウントや偽のIDを使用してネットワークを操作しようとする攻撃方法です。攻撃名称の「シビル」は多重人格者の個人名にちなんでいます。
攻撃者は複数のユーザーがいるかのように見せかけ、意図通りのコンセンサスが図られるように仕向けます。そのため、ブロックチェーンネットワークを正常に保つはずの多数決の原理が機能しなくなるのです。
3. ルーティング攻撃
データの転送経路を傍受し、情報を盗み出す攻撃方法です。ブロックチェーン上では何ら不正がおこなわれていないように見えてしまいます。
ルーティング攻撃を防止するにはブロックチェーンの安全性を過信せず、ユーザー自身のセキュリティ対策を向上させることが重要です。
ブロックチェーン利用のセキュリティ対策
ブロックチェーンは比較的安全性の高いネットワークではあるものの、ハッキングされるリスクはゼロではありません。そのため、個別にセキュリティ防衛策を講じる必要があります。
ブロックチェーンのセキュリティ対策として次の3つが挙げられます。
- マルチシグ
- コールドウォレット
- 二段階認証
順番に解説します。
1. マルチシグ
名前のとおり、複数の秘密鍵を利用する公開認証方式です。
従来の個人認証方式はパスワード認証が主流でした。パスワード認証方式では秘密鍵がひとつしかないため、個人の端末がハッキングされるとデータの改ざんや資産が持ち出されるリスクがあります。一方のマルチシグ方式では複数の秘密鍵を複数の場所に保管するため、ハッキングリスクを低減できます。
一般的なマルチシグは「2of3」という方式を採用しています。秘密鍵を3つ設定し、そのうちの2つが揃うと認証される仕組みです。
たとえば秘密鍵の1つを暗号資産取引所、2つを個人の端末で保管したとします。暗号資産取引所がハッキングされても、個人端末が無事なら秘密鍵が揃わないため認証されません。このように、認証に必要な鍵を分散して保管することでセキュリティを向上させられます。
ただし、個人が保管する2つの秘密鍵を同一の端末で保管してしまうと、比較的簡単にセキュリティが破られてしまう可能性が高いです。マルチシグを導入すれば絶対に安全ということではないため注意しましょう。
2. コールドウォレット
コールドウォレットは、USBやペーパーなど、オンラインから遮断された状態で秘密鍵を管理する方法です。コールドウォレットは管理媒体を紛失するリスクはあるものの、ハッキングを受ける心配がありません。
反対に、常にネットワークに接続した状態で管理するものを「ホットウォレット」と呼びます。ホットウォレットはリアルタイムで取引できるため利便性は高いですが、ハッキングや暗号資産の流出リスクがあります。
3. 二段階認証
IDとパスワードに加え、ログインのたびに発行されるワンタイムパスワードを入力する方式です。暗号資産取引所に限らず、オンラインゲームのログインなどでも利用されている技術です。
IDとパスワードのみでログインできてしまうと、ハッカーに情報を盗まれたときの資産流出リスクが高くなります。二段階認証を導入していればワンタイムパスワードを発行する端末が盗まれない限り、不正出金などの被害を防げます。
ブロックチェーン関連のセキュリティを向上させるプロダクト
ブロックチェーンのセキュリティを向上させるためには、スマートコントラクト監査サービスの利用がおすすめです。プロダクトを3つ紹介します。
- Bunzz Audit
- KEKKAI Audit
- Spize audit
ブロックチェーンにも脆弱性はあるため、セキュリティの向上は欠かせません。スマートコントラクトの脆弱性を突かれると、暗号資産の不正流出やデータの改ざんリスクがあるためです。
1. Bunzz Audit
Bunzz Auditは、ブロックチェーン関連プロジェクト向けの監査ファームです。スマートコントラクトのセキュリティに特化したAIを使用することで、コストの大幅な削減に成功しています。大手監査ファームに比べて安価で精度の高い監査の提供を強みとしています。
上場企業が提供するNFTプロジェクトなどにも提供実績があり、無料相談を随時受付中です。
2. KEKKAI Audit
KEKKAI Auditは、ブロックチェーン上のアプリやスマートコントラクトの脆弱性を調査し、レポートを作成するサービスです。
フォーマル検証で効率的にスマートコントラクトの弱点を見出し、手動レビューによってニーズに合わせた監査を実行します。これにより、明らかになっている脆弱性だけでなく、微妙なセキュリティ問題も特定しやすくなる点を強みとしています。
検出された脆弱性は重要度によって分類され、是正するための推奨事項がレポートに記載されます。ブロックチェーンを用いたプロジェクトを成功に導くための一冊となることが期待できるでしょう。
3. Spize audit
Spize auditは、スマートコントラクトの設計や実装を監査し、不具合や脆弱性をチェックするサービスです。2018年のブロックチェーン黎明期からサービスを構築してきた実績と、暗号資産取引所の運営経験を強みとしています。
NFTやDeFi、GameFiなどあらゆるプロジェクトの監査に対応しています。また、海外ブロックチェーンセキュリティ企業のコード監査支援も可能とのことです。
まとめ
ブロックチェーンは分散型台帳とスマートコントラクトにより、従来よりも安全性の高いネットワークと言われています。しかし、脆弱性がないわけではなく、ハッキングや改ざんのリスクはゼロではありません。
サイバー攻撃を防ぐためにはネットワークの特性を理解し、セキュリティを向上させる必要があります。また、ネットワーク参加者も安全性を過信せず、ひとりひとりがリテラシー能力を身につけることが重要です。
MCB Web3カタログについて
MCB Web3カタログは、Web3領域におけるBtoBサービスを網羅的に検索・比較することができるカタログサイトです。MCB Web3カタログの会員(無料)になると、事業者向けのWeb3ソリューションに関する資料を個別もしくはカテゴリー別に請求できます。
- 「ブロックチェーンのセキュリティに関する最新サービスを知りたい」
- 「スマートコントラクトのセキュリティを向上させるソリューションを検討したい」
など、導入を検討中の事業者様にぴったりのサービスやソリューションが見つかるMCB Web3カタログを、ぜひご活用ください。
MCB Web3カタログへ掲載してみませんか?掲載社数は約50社、国内随一のWeb3 × BtoBサービスの検索・比較サイトです。
web3ニュースレター
