さて、引き続き「2018年のセキュリティ事件ランキング」です。

前記事はこちら。マカフィーさんが発表した本家のランキングも掲載してます。
https://newspicks.com/news/3534364
https://newspicks.com/news/3535521

第3位：ブロックチェーンの根本的な脆弱性を突いたサイバー攻撃
本家マカフィーさんの1位である、コインチェック社の仮想通貨NEMが580億円分流出した事件のことかというと、違います。もちろんそれは大きな事件であることには違いないんですけど、同じ話をしてもしょうがないですからね。

NEM流出の件は、仮想通貨のセキュリティで考えなければならない問題を全部棚卸するには、学びの多い事例です。たとえば「コールドウォレット」「ホットウォレット」の話。これは、飲食店に例えてみるとコールドウォレットが金庫、ホットウォレットがレジみたいなもので、盗られないためには金庫に入れておくのが大変だけど、営業中に全部のお金を金庫に入れておくのは効率が悪すぎるので一定金額はレジに入れたままにしておく、という感じ。で、強盗や空き巣に入られちゃったらレジに入れたままのお金は根こそぎ持っていかれますが、金庫を破るのは難しいですねって話。両ウォレットの違いはインターネットに接続しているかいないかなのですが、それによる利便性と危険性のトレードオフ。なのでホットウォレットを全く使わないか、使うにしても高額引き出しを防ぐ仕組みを作るとか、そんな対策が本来必要。

他にもマルチシグの話とか二段階認証がどうだとか、こっちも色々話すことはあるのですが、僕が今回挙げるのは”仮想通貨”ではなく”ブロックチェーン”の話です。

ブロックチェーンは堅牢という大前提がありますが、その大前提を崩されたことによって、これからのブロックチェーンの活用は相当気を付けて進めないといけなくなりました。

「block withholding attack」とか「51%攻撃」とか言われるタイプのサイバー攻撃です。ブロックチェーンというのは、中央集権的なサーバを持たず、利用者たちが自分の端末でずっと演算処理をしていて、今動いているデータの状況が正しいかどうか、みんなで答え合わせをしています。これがいわゆる「マイニング」です。で、答え合わせをした結果、意見が割れることがあります。その時に、多数決（＝演算結果の過半数）になるのが特徴です。この攻撃は、そのブロックチェーンの基本仕様の脆弱性を突いたものです。

具体的にどんなことをするか。ブロックチェーンで仮想通貨の取引をしているとします。AさんとBさんの間で100万円の送金が行われます。この取引を、その仮想通貨に参加している世界中の端末が見守っていて、正しいことを証明しました。しかしそこに、悪意のある攻撃者がAさんから実はCさんに送金があったことに書き換えるような演算結果をこっそり作ります。これで書き換えてしまって正しい取引を無効にしてしまう方法です。

テクニカルな部分はここを見てもらうとわかりやすいです。
http://www.kurashinocc.tokyo/entry/2018/05/23/161653

で、凄く簡単に言うと、高い演算能力があるマイナー（＝マイニングする人／事業者）が好き勝手に取引記録を書き換えて換金できるというわけです。

この攻撃方法は以前から知られていて、論理的には起こり得るものの、実際に行うことは不可能であろうと言われていました。また、上の引用サイトでも最後に書いていますが、ブロックチェーンの技術の根幹に影響を与えることはないだろうという人もいます。が、少なくともブロックチェーンを積極的にいろいろなところに使っていこうという時に、この攻撃を受けるリスクが無いかを考えて設計しなければいけないことは確実です。

例えば。マイナーが少なく、換金性のあるものが危ないということなら、今盛んに導入の機運が出てきている地域限定通貨は危ないということです。また、ブロックチェーンは非中央集権型であるため、中央銀行の信用が低い発展途上国では、本来の通貨よりも信頼度がマシと考えられているため積極的に利用される可能性が高まっているのですが、ビットコインなどのような十分にマイナーがいるメジャー仮想通貨以外が流行すると、ひょっとしたら、ということもあり得ます。

また、ブロックチェーンは仮想通貨以外にもいろいろな活用が考え始められています。たとえば食品の品質証明。誰が作り、誰が検査し、誰が配送し・・・という情報を記録します。ブロックチェーンは改ざんが難しく、トレーサビリティ性が高いと言われていますので、そのメリットを存分に活用しようというわけです。さらには、株式の売買、ポイントの交換、ひいては選挙の投票結果を・・・などという取り組みもあるようです。

しかしこの攻撃は”改ざんが難しく、トレーサビリティ性が高い”というブロックチェーンの強みを根幹から崩壊させる可能性があるので、本当にこのようにあれやこれやと活用幅を広げていって大丈夫なのか、という再考が求められる事態になっているのです。

そして、ブロックチェーンのマイニングは、一般的にはインターネットで互いに接続する、匿名性の高い参加者で行われているのですが、セキュリティのリスクを軽減するために、参加者自体を絞って、確実に信頼が置ける参加者だけで構築しようという考え方も出てきています。しかし、これは誰かが参加者を認証しなければならず、中央集権的な”管理権限者”が必要ということで、ブロックチェーンのメリットを潰します。管理権限者が悪い人だったらこの空間の信頼性は完全に崩壊するし、管理権限を盗られる可能性もあるのですから。

そのくせ、ブロックチェーン自体はとても処理効率が悪く、遅いです。元々、遅い代わりに中央集権型のデメリットを消してくれることがメリットなのに、なぜわざわざブロックチェーンを使う必要がある？という話になってしまいます。この意味でも、ブロックチェーンバブルは来る前に弾けてしまっているのかもしれず、やっぱりそれってブロックチェーンの存在価値を根底から潰すとは言わないまでも、かなり下げてしまったというくらいは言ってもいいんじゃないかなぁと思っているのです。

本日はここまでです。まだ終わりませんよ！