1月26日の事件(コインチェックから約580億円分の仮想通貨NEMが流出した事件)に関して。セキュリティ及び情報処理安全確保支援士の観点から。
//今春の情報処理安全確保支援士試験に出題される?//
気になったので調べてみた。シラバスにはない。IPAが公表している「情報セキュリティ10大脅威 2017」にも無かったので,たぶんまだ大丈夫だと思う。
ちょうど昨年の5月に流行したランサムウェア「Wannacry」でも,支払い要求は仮想通貨(ビットコイン)だったので,来るかなと思っていたんだけど…シラバス改訂されたら要注意だな。
ただ,午前問題には十分出る可能性があるので,Wannacryの動向は頭に入れておいた方がいいと思う。特に,キルスイッチの攻防は興味深い。
//仮想通貨の仕組み//
ちょうど今,ネット上にも情報が多いので…これを機会に仮想通貨の仕組みに関しても,基本的な技術は押さえておいた方がいいと思う。
特に,今回流出したNEMは,自分自身で仮想通貨を発行することのできるプラットフォームなので,その仕組みを理解するのにはいいかも。特に,ITエンジニアにとっては…mijinもあるし,プライベートブロックチェーンを活用することもあるかもだし(ブロックチェーン2.0や3.0)。
まず,仮想通貨のベース技術にはブロックチェーンがあることは,FinTech絡みで知っていると思うけど,ブロックチェーンの場合,その取引履歴が公開されているので,今回の件もランサムウェアの身代金も,どこに送金されたのか入出金履歴?移動履歴?は追跡できるようになっている。
次に,仮想通貨には公開鍵暗号方式とハッシュ関数が使われている。電子証明書とよく似た概念で,送金側は自分の秘密鍵で電子署名し,受取側(受信側)の公開鍵で暗号化して安全に送金するイメージ。
仮想通貨は,「ウォレット(財布)」を使ってやりとりするんだけど,そこには銀行口座に該当するアドレス(公開鍵をベースに作成)と秘密鍵が紐づいている。だから,その秘密鍵が盗まれるとジ・エンドということになるわけで…今回も,取引所で管理している秘密鍵が盗まれた。
なぜ盗まれたのか?
取引所では,盗まれないように…コールドウォレットや,マルチシグを使うようにしている。コインチェックもやっていると言っていたはずなのに,一部だったのか?結果,NEMに関してはやっていなかったので,ネットから不正アクセスされたというわけ。で,この二つの技術は,秘密鍵の安全な管理技術なので覚えておいた方がいい。一言で言うと…前者はネットから切り離してローカルでの秘密鍵の管理で,後者は複数の秘密鍵での管理になる。
//どうやって換金する?//
ブロックチェーンだし,さらに追跡しやすいようにしたみたいで,これでロンダリングはできないとのこと。どのウォレットにあるのか追跡はできているそうなので,あとは…どうやって換金するかが焦点になる。
振り込め詐欺と同じで引き出すときが問題で…もちろん日本のATMよりは低リスクなんだろうけど,それでもWannacryも5月からずっと監視されていて…結局,換金されたのは8月だもんな。
これまでのランサムウェアの身代金は,ネット上の情報によると…その95%がブルガリアの取引所 BTC-Eから引き出されたらしい(ソースはこちら)。ここって大手だけど身分証いらないんだって。余談だけど…あれだけ大騒ぎしたWannacryって,大した金額じゃなかったんだな…。
今回は,NEM財団が,各取引所に取引しないように伝えているようだし,取り扱っている取引所も少ないそうで…どこで換金するつもりだったんだろう?ブルガリアのBTC-Eは,マネーロンダリングで逮捕者が出て,業務再開はしたけれど…以前のように容易に換金できないだろうし…。っていうかNEM扱ってない?
無いよな。
それにどうしてすぐに出さなかったんだろう?その後のNEM(XEM)の動きみたら…騒ぎ起こしていったん下げさせて安く買って,その後,値が回復した時に売りぬくか…そのまま保持するか。それを狙ったんだろうか?このままNEM財団が勝利して,NEMの安全性が認知されると(取引所ではなくNEMそのもののね),ただでさえ将来性があると言われているところ,爆上げするかもしれないしな。
あるいは金銭目的じゃない?
コインチェックの杜撰な管理体制を知っていて,コインチェックを潰そうととか…,NUMの安全性と認知度向上の宣伝効果を狙ってとか…そんな妄想までしてしまう。
まぁ,ほんとただの妄想だけど…笑。