つづき。外堀が埋まったので具体的なところに向かいます。

...

仮想通貨関連サービスは、概ね下記のようにモデル化できるはずです。(仮想通貨関連に限らず、web アプリケーション一般で、このモデルになりそうな気もします。)

・ユーザ (暗号通貨に興味はあるが、情報セキュリティの知識は期待できない)
・ユーザ所有端末 (スマホ、パソコン、ハードウェア・ウォレット等)
・通信経路 (ルータ、web proxy 等)
・仮想通貨関連サービス提供者の所有機材 (サーバ、ウォレット等)

話を単純にするため、ここではこの web アプリケーションが備えるべき品質の定義を、「ユーザの仮想通貨資産が悪意のある者に奪われないこと」とします。

ここで仮想通貨関連サービス提供者が ISO の定石に沿った場合、Common Criteria というものにそった評価を行うなり誰かに行ってもらうことになります。

しかし、あまり深く考えなくても解ると思いますが、上記モデルでは、控えめに言っても評価が難しく、率直に言うと困難です。ユーザの端末まで監査できません。そして、インターネットを使っている限り、通信経路も全て監査できません。

現実世界では、理想論を振りかざしていても仕方ありません。諸々、現実的な落とし所を考える必要があります。結果「仮想通貨関連サービスが保有している機材やソフトウェアのみ、きちんとやりましょう」というところに落ち着いたりするわけです。 (念のため注: 一般論であり、特定の事業者のことは指していません)

(その落とし所もあやふやだったりやらなかったりすると、ホット・ウォレットからごっそり盗まれたりするわけですが、それは論外)

きちんと対策を立てようとしても妥協の発生する余地がある。これは、ユーザ側にとって、自己防衛のために備えるべき知識です。

...

さて、読者が悪意のある攻撃者だったとして、上記モデルのどこを攻撃するでしょうか。

仮想通貨関連サービスの種類にもよりますが、金融庁登録交換業を終えてブイブイ儲けているとするならば、機材のセキュリティ確保のために一定以上にお金を掛けている。中の人ならばそう想定します。(実際にはそうでもなかったらしい"みなし業者"以下略)

攻撃するならば、一番脆弱な部分を狙うでしょう。よって、ユーザを物理的に直接襲撃するか、ユーザ所有端末に何か仕込むか、通信経路に何か仕込むか、辺りが無難な線になります。物騒な話ですが。

これらのうち、直接襲撃は話題からはずします。サービス提供者にできることは、何も無いでしょうから。

ユーザ所有端末に何か仕込まれた(いわゆるマルウェア)場合には、残念ながら打てる手は極めて限定的になります。このことについては業者 BOT も過去に何度かツイートしています。

また、「マルウェアを仕込まれるような運用をしたほう(ユーザ)が悪い」という自己責任論にも一定の理は有り得ます。

では、通信経路はどうでしょうか。

コインチェックの事案でも、社内ネットワーク上に流れた秘密鍵が傍受された可能性が指摘されています。Web アプリケーション、特に仮想通貨関連の場合、認証情報の流出は、ユーザ資産の流出という(ISO 27001/ISMS が定義する通りの意で)「脆弱性」に直結します。

本稿の前半で定義した品質の定義「ユーザの仮想通貨資産が悪意のある者に奪われないこと」を満たすためにも、通信経路を流れる情報の秘匿化は大きな課題となるわけです。

...

さて、話は少し脇にそれますが、先日紹介した Observatory というツールは一体何をしてくれるツールなのか、という辺りを整理しておきたいと思います。

ここ(note)は Qiita ではないので技術的な厳密さを思いっきり端折って言うと「サービス提供者の意図と違うコードが埋め込まれたり異なるサイトにつながれたりという自体に対し web ブラウザが検出しやすいかどうかを見ている」です。さらに平たく言うと「通信経路で情報が漏洩されづらくしようと努力しているかどうかを見ている」

なので、web ブラウザそのものが改変されていたりすると役に立ちませんし、それらの標準に非対応 web ブラウザの役には立ちません。その程度のものです。

...

その程度のものなのですが、上記でも示唆したとおり、仮想通貨関連サービスでユーザ側へ提供できるセキュリティリスク軽減策は多くはありません。

SMS 認証が必ずも安全でないことはレポートがあります(ボイスメールを使った場合の具体的な攻撃事例があったはずだけれども見つかりませんでした…無念)。メール認証も、メールサービスのアカウントが奪取されていた場合には無力です。2FA も偽サイト経由で抜かれた場合には無力です。

品質確保のための強烈に有効な手段(銀の弾)がこれといって無い状態では、取れる手段は積極的に取っていくしかありません。もし品質確保のための活動をやっているのであれば、ですが。

繰り返しになりますが、Observatory が行っているチェックは、大したことはありません。対応作業の内容も、(環境によりますが)Webサーバのヘッダに何か追加する程度のものが多く大したコストは掛かりません。実際、某 "光の" 交換所は、さすがの機動力で、即日でスコアを上げてきました。

逆説的に、その程度の作業も後回しにしていることは、セキュリティ品質確保のための活動を行っていないのでは？ と疑り深い中の人は考始めたりします。意地でも A+ を取るべきなどとは思いませんが、F は論外でしょうと。

ほぼほぼ単純なフラグチェックでしかない Observatory の、占い以上の妥当感が得られてしまう背景には、品質への観点の差が現れている。業者 BOT の中の人は、そのように解釈している次第です。

...

あとオマケを書いて本件は close っぽいです。