仮想通貨交換業者は無職業者BOTと今すぐ顧問契約を結ぶべきだというお話

もちろんタイトルは釣り。 #っぽい

パソコンに詳しくない方にはいまいち知られていないかもしれませんが、Firefox という web ブラウザがあります。IE や Edge や Safari や Chrome 辺りと競合となります。

Firefox は、Mozilla Foundation (MF)という非営利団体が開発しています。MF は、Firefox の開発以外にも、web 関連の標準化活動や開発者向けのツール提供などを行っています。

それらのなかで、web 開発者必携のツールとして observatory があります。

このツールは、Web アプリケーションで発生し得る潜在的な脆弱性の有無をチェックします。

「Web アプリケーションの脆弱性」というのは多数の要因があり、一つのサービスで全てを網羅するのは困難です。observatory で得られる診断は、限られます。

サイト運営者が善良であるにも関わらず、悪意のある第三者による中間者攻撃などがあったとき、web ブラウザがそれを検知しやすくしているか。

サイト運営が scam かどうかの判定はできません。また、サイトそのものの脆弱性(APIを使って不正送金されるような交換所か、とか)は判定できません。

ポジティブに言い換えると、ユーザに提供するセキュリティに対する、サービス運営の意識の高さをを示す指標の一つになりえます。

さて、このツールを使って仮想通貨/暗号通貨関連のサービスを見てみましょう。

まずは、中の人が関わっている https://wallet.monaparty.me/

「A+」との評定が出ました。今のところ基軸トークンである XMP の価値は微妙なところですが、 モナコインを扱うウォレットでもあるので当然 A は確保したいところです。

一方、同じく中の人が関与している https://ticket-counter.monaco-ex.com/ は 「D+」 でした。

「モナコインを失っても泣かない子限定」での暫定公開とはいえ、これは酷い。(直さなきゃ)

...

続いて、中の人が関与していないサイトを見てみましょうか。

セキュリティ鉄壁を謳い文句にしているっぽい「もにゃ」のブラウザ版。

中の人が「直さなきゃ」と思う ticket-counter よりも低い数値が出ました。

一応擁護もしておきますが、github.io でホスティングすると、スコアを確保するために必要なサーバ設定が殆どできません。Cloudflare のような CDN サービスを噛ませることで一部改善できるのですが、それも行わないと、こういう結果になります。

作者は高校生のようですし、それにしては頑張ったね、っていう所感です。(えらそう)

...

さて、メインイベントへ移ります。

金融庁登録の仮想通貨交換業の皆様にご登場いただきましょう。

まずは、ツイッター界隈では "闇の" という二つ名を持つ「ビットコインするなら」

Fラン、0点。まあ、このサービスについては…

ぜひそうすべきと思いますっぽい。

では、"光の" の二つ名を持つ、技術力に定評のある、あの交換所なら。ワクテカ。

は? (呆け

闇の0よりも光の15点のほうが、幾分かマシでした。

...

金融庁登録でブイブイ金を集めている仮想通貨交換業者の基幹サービスは、学生や無職業者BOTの運営サービスよりもユーザ向けのセキュリティ対策の意識が低い。

そんな結果が出ました。

2FA とか SMS 認証とかメール認証とか、そういうのを頑張るのも別に悪くはないのですが、ユーザビリティが下がるというデメリットも割とあります。

一方、http/https プロトコル周りのセキュリティは目立ちませんが、マルウェア等による中間者攻撃に対しては効果があると言われています。

各仮想通貨取引所におかれましては、対策をお立てになることをお勧めしますし、もしやり方が判らないのであれば、当業者BOTと高額のコンサル契約を結ぶべきです。 #っぽい


加筆

予想外の(そして斜め上のもやや多めの)反響の中、対策を立てスコアを上げてきた取引所も出てきました。

この機動力。"光の" の二つ名は伊達ではなかったっぽい。

この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

1

cryptcoin_junkey

コメント12件

> 「Web サイトとブラウザとの間に攻撃者が存在した場合に、ブラウザが検知しやすくするなっているかどうかの診断を行います。」
> もう少し簡潔または厳密に振れる気もしますが、いかがでしょうか?

ハッキリ言いますが、このツールの結果を一般利用者向けに紹介するのはまず無理です。なぜなら一般利用者がターゲットユーザーではないからです。
(あとたぶん誤解されているようなのですが、このツールでスコアリングしているのは中間者攻撃に対する設定のみではありません)

それでもどうにか簡単に紹介するのであれば、

「サイトが外部から検出できる範囲で安全な設定を実施しているかどうかの診断をおこないます (ただし、「安全な設定がされていない = 危険」ということではありません)」

といったところでしょうか?
>> マルウェア等...役に立つのでしょうか?
> たぶんここは想定している攻撃レベルにズレがあるので噛み合わない

根源的なレベルの対策や攻撃にこだわっているわけではないので、想定さえ教えていただければ、たぶん私としては理解できそうな気がします。
まあ、まったく批判的かというとそういうわけではなく、私としても気づきを得られたという点では (嫌味でも何でもなく) 非常に興味深い記事でした。ただ、私はいわゆるホワイトハッカーとして各種サービスに対して脆弱性の報告をするような人間で、そのような人間の立場から申し上げれば、サービスの安全性を外部から指摘することは実際の攻撃可能性を示さない限りは難しく、またともすれば事実とは異なる中傷になってしまいかねず、そういった意味で本記事で述べられていることはやや性急に過ぎると感じました。
しかし、実際に本記事に影響されてビットバンク社がより妥当な設定に改められたということですし、本当にこの結果で示されている箇所が脆弱であるサービスは普通にありうるでしょう。とても素晴らしい啓蒙であることは間違いないです。いち暗号通貨投資家として感謝いたします。どうもありがとうございました。
ご丁寧なご指摘ご助言ありがとうございました。
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。