暗号の世界では、プライバシーとセキュリティに関して、ビットコインやその他のデジタル資産を保持するための優れた選択肢として、ハードウェアウォレットが長い間支持されてきました。ハードウェアウォレットの利点は、ラップトップや携帯電話に接続するUSBのような小型デバイスで、所有者が取引をしたいとき以外は、ハッカーから安全にオフラインで保管できる物理的なデバイスであることにあります。
しかし、誰もがこのデバイスが常に良いアイデアであると確信しているわけではなく、アンシペアードというサイバーセキュリティ新興企業のホワイトハットハッカーチームもその一人です。このチームは、香港を拠点に2000万ドルものベンチャーキャピタルを調達し、自社製品を「数百万人に信頼されるオープンソースの財布」と表現するOneKey社製のデバイスに侵入する様子を収めたビデオを公開しました。
アンシペアードは、ビデオのプレビュー版をFortuneと共有し、この悪用は、OneKeyのデバイスをまだ工場にあると思わせるために「中間者」攻撃を使用することに関係していると説明しました。こうすることで、アンシペアード社は、財布のシードフレーズ(パスワードとなる12以上の単語からなるランダムで推測不可能な文字列)をデバイスのコンピュータシステムの別の部分に中継させ、その途中でキャプチャすることに成功したのです。
シードフレーズを手に入れるということは、ウォレット内のデジタル資産にアクセスし、別のアドレスに送信して盗むことが可能になるということです。もっと簡単に言えば、誰かの貸金庫の鍵のコピーを作って、いつでもどこでもアクセスできるようにするようなものです。
アンシペアード社によると、OneKeyデバイスを分解し、「中間者」コンポーネントを取り付ければ、1秒以内に実行できるそうです。
OneKey社の創業者であるYishi Wang氏は、この悪用の存在を確認し、その後同社が修復するためのアップデートを提供したとFortune誌に語りました。
「アンシペアード社やその他のセキュリティ・ホワイトハットの協力に感謝しています。あなたが言及したファームウェアの脆弱性は、物理的なアクセス(と専門的な機器)を必要としましたが、現在は修正されています」と、彼は電子メールで述べています。
アンシペアードによると、OneKeyは同社に「バグバウンティ」-ホワイトハッカーが責任を持って脆弱性を報告し共有することを奨励するために、多くのハイテク企業や暗号化企業が提供している報酬システムを表す用語-の形で1万ドルを支払ったといいます。
ハードウェアウォレットは本当に安全なのか?
脆弱性の存在は常に懸念材料ではありますが、現実には、すべての脆弱性が現実世界において重大な危険をもたらすわけではありません。OneKeyの創設者がFortune誌への回答で述べたように、アンシペアード社が発見した脆弱性は、ハッカーがデバイスに物理的にアクセスし、高度な技術的熟練を必要とするもので、低レベルのサイバー犯罪者が販売または使用できるソフトウェアの脆弱性とは全く異なる状況です。
とはいえ、危険はまだ現実のものとなっています。アンシペアード社の創業者であるエリック・ミショー氏によると、ハードウェアウォレットを所有するような人は、通常、かなりの量のデジタル資産を所有しており、特に高度な犯罪者に狙われる可能性が高いとのことです。暗号関連のカンファレンスは、ホテルの部屋に強盗に入るなど、泥棒にとって特にターゲットが多い環境であると、彼は指摘しています。
また、ミショー氏はインタビューの中で、ハードウェアウォレットは誤ったセキュリティ感覚を与え、ハッカーにクラックされないという誤った思い込みから、デバイスを安全に保管できないことがあるとも述べています。また、OneKey社がアンシペアード社の発見を受けて行ったように、ハードウェア・メーカーはデバイスのセキュリティを強化するためのソフトウェア・アップデートを提供していますが、製造元が倒産した古い財布や、所有者がアップデートしないまま所有している財布の問題もあります。
より広い意味では、アンシペアードは、長年のセキュリティ研究者で構成され、その中には国家安全保障のクリアランスを取得している者もおり、OneKeyよりもはるかに広範囲のハードウェア・ウォレットを懸念しているとミショーは述べています。
ミショー氏によれば、複数のハードウェアウォレットメーカーが同じコードベースを再利用して製品を製造しているため、あるウォレットで発見された脆弱性が他のウォレットでも発見されることがよくあるという。つまり、暗号を守るためにハードウェアウォレットに依存している人は、常に警戒する必要があるということです。
この記事は、Fortune.comに掲載されたものです。
他のFortuneの記事もご覧ください。
