Close
独占インタビュー

NFTGo Web3 Builder対談 第二回ーSlowMist セキュリティ チーム

NFTGo Research

  • 9月 19, 2023
  • 1 Min Read
NFTGo Web3 Builder対談 第二回ーSlowMist セキュリティ チーム

ブロックチェーンエコシステムのセキュリティに特化した企業、SlowMist テクノロジーは、2018年1月に、10年以上の一線でのネットワークセキュリティ攻撃と防御の実績を持つチームによって設立されました。SlowMist テクノロジーは、業界内で一般的な高リスクのブロックチェーンセキュリティの脆弱性を数多く独自に発見し、公表しており、業界から広く注目されています。

現在、ブロックチェーンのセキュリティ問題が頻繁に発生しており、Web3 エンスーサストも長期間これに悩まされています。したがって、第2回の対談では、SlowMist セキュリティ チームにブロックチェーンセキュリティに関する有益な情報を共有していただくことを非常にうれしく思います。それでは、正式に始めましょう!

Q1: SlowMist(慢雾)について紹介をお願いします。

A:SlowMistは、ブロックチェーンエコシステムのセキュリティに特化した会社です。私たちのブロックチェーン生態系のセキュリティ対策は、三つの側面からなります。最も内側には合法的なセキュリティがあり、次に技術的なセキュリティが、最後に生態系のセキュリティがあります。技術的なセキュリティには、セキュリティ監査とマネーロンダリングの2つの主要なビジネスラインが含まれます。セキュリティ監査には、DeFiプロジェクトのスマートコントラクトコード、中央集権型取引所、ウォレットアプリ、ブラウザプラグインウォレット、基盤となるパブリックチェーンなどが含まれます。また、私たちはレッドチームテストサービスも提供しており、これは私たちの強みの一つです。私たちは2018年から今日までの5年以上にわたり、多くの業界で知名度の高い顧客にサービスを提供し、高い評価を受けています。

また、私たちは反マネーロンダリング分野にも焦点を当てており、MistTrackというオンチェーントラッキングプラットフォームを持っています。これに加えて、合法的なセキュリティにも注力しており、セキュリティ監査や反マネーロンダリングの協力プロジェクトに関連する対象プロジェクトには厳格な法的プロセスがあります。

私たちはセキュリティは包括的な問題であることを深く理解しており、包括的なセキュリティ体系を構築する必要があると考えています。そのため、脅威の検出から脅威の防御まで、地域に合わせた統合型のセキュリティソリューションを提供しています。これは、階層化された防御のようなもので、最も外側は脅威の検出であり、SlowMistのパートナーやSlowMist自身の脅威インテリジェンスシステムを使用して脅威を発見し、識別し、メディアチャネルを通じてエコシステム全体に警告を発信します。脅威の防御は、BTI(ブロックチェーン脅威インテリジェンスシステム)から特定の状況に合わせた防御策や、コールドウォレットとホットウォレットのセキュリティ強化など、ネットワークセキュリティ、リスク管理セキュリティ、ウォレットセキュリティなどの領域で高品質なセキュリティソリューションプロバイダーを顧客に提供します。私たちは、業界の優れたパートナーやコミュニティと連携し、安全なエコシステムを共に築くことを願っています。

Q2:Web3のセキュリティ問題は常に防ぎ切れないものです。基本的なルールである助記詞の手書き保存やウェブサイトの真贋に気を付けることはもちろん重要ですが、SlowMistは頻繁にWeb3を使用するユーザーに対してどのようなセキュリティのアドバイスを提供しますか?

A:攻撃者がユーザーの資産を盗む一般的な方法を理解した上で、そのリスクに備えることが重要です。攻撃者は通常、ユーザーの資産を盗むために次の2つの方法を使用します。1つ目は、ユーザーが悪意のある取引データに署名するよう騙す方法で、資産を攻撃者に委任したり転送したりするようユーザーをだますことです。2つ目は、ユーザーにウォレットの助記詞を入力させる悪意のあるウェブサイトやアプリを用意することです。

ユーザーがリスクに備えるためのいくつかの方法は次のとおりです:

1. 署名前に、署名する取引の内容を正確に理解し、署名の対象が正しいか、委任の額が過大でないかを確認することが重要です。

2. 可能な限りハードウェアウォレットを使用することをお勧めします。ハードウェアウォレットは通常、助記詞や秘密鍵を直接エクスポートできないため、攻撃者の侵入を難しくします。

3. フィッシング攻撃や詐欺事件に対する警戒心を高め、セキュリティ意識を向上させましょう。慢雾などのセキュリティ企業の最新情報をフォローし、詐欺やフィッシング詐欺の最新のトレンドを把握することが重要です。また、慢雾が提供する「ブロックチェーンのダークフォレスト自己防衛ガイド」などのリソースを活用することもお勧めです。

4. 異なるシナリオ用に異なるウォレットを使用することをお勧めします。大量の資産は通常、頻繁に操作されないため、セキュアな場所に保管することが重要です。一方、エアドロップなどの活動に参加するウォレットは、小額の資産を保管するのに適しています。資産の種類と使用頻度に合わせてウォレットを選択し、リスクを管理しましょう。

Q3、8月16日、余弦氏が興味深いツイートを投稿しました。「MacのほうがWindowsよりも安全だと思っているのは、どこから来た誤解ですか?」という内容です。Web3ユーザーにとって、SlowMistはMacとWindowsの利点と欠点についてどのように考えていますか?

A:はい、このツイートは多くの議論を巻き起こしました。逆に、「WindowsのほうがMacよりも安全だと思っているのは、どこから来た誤解ですか?」という観点と回答も似たようなものです。単一のシステムのセキュリティの観点から見ると、Macのクローズドな性質と厳格なアクセス制御は、Windowsよりも優れていることが確かです。また、全体的なPC市場でのMacのシェアは低く、Windowsが支配的であるため、攻撃がWindowsで多く発生しています。Windowsは生まれてから現在まで、ほぼすべての攻撃面が非常に成熟しています。言い換えれば、現在、侵入、APT攻撃などのセキュリティ担当者の99%はMacを対象としません。その反対に、100%はWindowsを対象にします。上記の話を置いておいても、すでに回避されたマルウェアを使ってMacとWindowsを攻撃する場合、基本的な結果は同じです。どちらも攻撃される可能性があるのです。

総括すると、セキュリティの半分はデバイスに依存し、半分は個人に依存しています。ユーザーのセキュリティ意識が不足していると、簡単にマルウェアに感染し、悪意のあるプログラムがコンピューターに侵入し、敏感なデータ(たとえばニーモニックフレーズ)が盗まれる可能性が高まります。マルウェアの挙動にはさまざまな方法があり、電子メールの添付ファイルに隠れていることもあれば、デバイスのカメラを使用して監視することもあります。セキュリティ意識を高めることをお勧めします。例えば、友達から提供されたプログラムを簡単にダウンロードして実行しないこと、信頼性のあるサイトからのみアプリケーション、ソフトウェア、またはメディアファイルをダウンロードすること、不明なメールからの添付ファイルを開かないこと、定期的にオペレーティングシステムを更新し、最新のセキュリティ保護を取得すること、カスペルスキーなどのアンチウイルスソフトウェアをデバイスにインストールすることなどがあります。

Q4、多くのプロジェクトで「資金庫」が盗まれた事例が発生しています。慢雾は、セキュリティの問題の主な原因として、どのような要因があると考えていますか?そして、自己監視が安全のリスクを大きく増加させる可能性はありますか?

A: SlowMistによると、2023年8月24日までの統計によれば、今年のセキュリティイベントは合計253件あり、損失は14.5億ドルに上ります。これらのセキュリティ問題は、次のような要因によって引き起こされることが一般的です。

1)フィッシング攻撃:攻撃者は合法的なウェブサイトや情報を偽造し、ユーザーに秘密鍵やニーモニックなどの機密情報を入力させ、それを盗みます。

2)トロイの木馬攻撃:マルウェアやウイルスがユーザーのデバイスやシステムに侵入し、秘密鍵やニーモニックなどの機密情報を盗みます。

3)ハッシュパワー攻撃:攻撃者はブロックチェーンネットワークのハッシュパワーを攻撃して、ダブルスペンドなどの攻撃を行い、資産を損失させます。

4)スマートコントラクト攻撃:契約のバグ、フラッシュローン攻撃、互換性の問題、アーキテクチャの問題などが原因でスマートコントラクトが攻撃され、それによって資産が損失します。

5)インフラ攻撃:攻撃者はブロックチェーンプロジェクトのインフラストラクチャ、ノードサーバー、APIなどを攻撃し、プロジェクトの正常な運用に影響を与えます。

6)供給チェーン攻撃:攻撃者はソフトウェアやハードウェアの供給チェーンを改ざんして、悪意のあるコードを挿入し、秘密鍵などの情報を入手します。

7)内部犯罪:時折、内部の関係者が資産の横領や内部情報の漏洩に関与することがあり、セキュリティの問題となります。

一方、監守自盗とは主に秘密鍵の漏洩を指します。個人に関しては、秘密鍵の漏洩は通常、秘密鍵やニーモニックをクラウドサービスに保存したために発生します。例えば、WeChatのお気に入り、メールボックス、メモなどに保存されますが、これらの情報はハッカーによって入手される可能性があります。一方、取引所に関しては、秘密鍵の漏洩には通常、より複雑な攻撃が必要で、大規模なハッカーグループが関与することがあります。彼らは通常、段階的に取引所サーバーに侵入し、最終的にホットウォレットの秘密鍵を入手します。

監守自盗は非合法な行為であり、模倣を奨励するものではありません。プロジェクトチームはセキュリティ対策を講じるべきであり、セキュリティ監査、Bug Bountyなどを実施し、プロジェクトのセキュリティを向上させるべきです。また、マルチシグネチャの導入、ゼロトラストアーキテクチャなどの技術対策を採用することで資産保護を強化できます。

Q5、クロスチェーンブリッジは以前、「AKAハッカーのATM」と呼ばれていました。技術的にはあまり詳しくないWeb3ユーザーにとって、クロスチェーンブリッジを使用する際に注意すべきポイントは何でしょうか?

A:クロスチェーンブリッジは、技術的には複雑で、コードの量が多く、バグが発生しやすいです。さらに、プロジェクトで使用されているサードパーティのコンポーネントもセキュリティのリスクを引き起こす可能性があります。また、クロスチェーンブリッジは通常、大規模な開発コミュニティのサポートが不足しており、コードが広く詳細に検討されず、潜在的なバグが見落とされる可能性があります。

ユーザーにとって、クロスチェーンブリッジを使用する際に重要なのは、自分の資金がどのように保護されているかを理解することです。クロスチェーンブリッジのリスクレベルを評価するために、以下のポイントに注意できます:

  • プロジェクトのスマートコントラクトがオープンソースかどうか
  • プロジェクトが多くのセキュリティ審査を受けているかどうか
  • 私鍵の管理方法がMPCマルチパーティ計算を使用しているか、それともマルチノードマルチシグネチャか、それともプロジェクトチームが統一的に管理しているか

さらに、クロスチェーンブリッジを選択する際には、セキュリティの実力が強いクロスチェーンチームを優先的に考慮することをお勧めします。プロジェクトがすべてのバージョンのコードセキュリティ審査を受けており、チームには専門のセキュリティ担当者がいることを確認してください。また、クロスチェーンブリッジ関連のチームがより多くの透明性を保つことをお勧めし、ユーザーからの疑問や提案に迅速に対応できるようにすることが重要です。

Q6、一般的詐欺やフィッシング詐欺以外にも、あまり一般的ではなく、人々が警戒するのが難しいケースについて、SlowMistは具体的な例を挙げることができますか?

A:以前、攻撃者がWeb3ウォレットのWalletConnectに存在する欠陥を利用してフィッシング攻撃の成功率を高める事件を公表したことがあります。具体的には、一部のWeb3ウォレットはWalletConnectをサポートする際に、トランザクションのポップアップがどの領域で表示されるべきかを制限せず、ウォレットの任意の画面で署名リクエストが表示されるようになっていました。攻撃者はこの欠陥を利用して、フィッシングサイトを使用してユーザーを誘導し、WalletConnectを使用してフィッシングページに接続させ、悪意のあるeth_sign署名リクエストを継続的に構築しました。ユーザーがeth_signが安全でない可能性を認識し、署名を拒否した場合、WalletConnectはwssを使用して接続されており、ユーザーが接続を適切に閉じなかった場合、フィッシングページは継続的に悪意のあるeth_sign署名リクエストを送信し続け、ユーザーがウォレットを使用している間に誤って署名ボタンをクリックする可能性が高まり、ユーザーの資産が盗まれる可能性がありました。実際、DAppブラウザを離れたり閉じたりすれば、WalletConnect接続は一時停止するはずです。それ以外の場合、ユーザーがウォレットを使用している際に突然署名が求められると、混乱しやすく、盗難の危険が高まります。ここで再度eth_signについて言及しましょう。eth_signは、任意のハッシュに対する署名方法であり、最近、攻撃者によって頻繁にフィッシングに使用されており、任意のトランザクションやデータに署名できるため、ネットワークフィッシングのリスクを構成します。アプリケーションやウェブサイトを使用する際は注意深く確認し、明確でない場合にパスワードを入力したりトランザクションに署名したりしないようにし、盲目的な署名を拒否することで、多くのセキュリティリスクを回避できます。

Q7、SlowMistがブロックチェーンセキュリティに従事してきた多くの年月の中で、最も印象的なセキュリティイベントは何でしょうか?

A:印象的な出来事の1つは、2021年に発生したPoly Network事件です。攻撃が最初に発生したのは2021年8月10日の夜の20時過ぎで、私たちは非常に注視し、攻撃プロセスを分析し、資金の流れを追跡し、盗難の損失を統計し続けました。その攻撃は61百万ドルの損失を出し、当時では非常に大きな攻撃イベントでした。私たちのチームは、8月11日の早朝5時過ぎに、攻撃イベントの分析結果と攻撃者のIP情報などを含む情報を最初に公表しました。そして、8月11日の午後4時過ぎに、ハッカーは多くの圧力にさらされ、資産を返却し始めました。その後、ハッカーの一部のブロックチェーン上の発言も興味深いもので、全体的に見れば、私たちとしてはセキュリティ企業としての達成感が非常に高いイベントでした。

Q8、最後に興味深い質問をさせていただきます。形式的検証、AI監査などの新技術が継続的に進化していますが、SlowMistは新技術の発展をどのように捉えていますか?

A:新技術について話すと、たとえばChatGPTは伝統的なテキストワークの効率を向上させ、CodeGPTはコードの記述効率を向上させます。当社内では以前、基本的な脆弱性コードをテストケースとして使用し、GPTが基本的な脆弱性を検出する能力を検証しました。テスト結果から、GPTモデルは単純な脆弱性コードブロックの検出能力はまずまずであり、少し複雑な脆弱性コードに対してはまだ検出できないことがわかりました。また、テストではGPT-4(Web)の全体的なコンテクストの可読性が非常に高く、出力形式も比較的明確であることがわかりました。 GPTは契約コードの基本的なシンプルな脆弱性に対する一部の検出能力を持っており、脆弱性が検出された場合、非常に高い可読性で脆弱性の問題を説明します。このような特性は、初心者の契約監査担当者に迅速なガイダンスと簡単な質問への返答を提供するのに適しています。ただし、いくつかの欠点もあります。たとえば、GPTの各対話の出力にはある程度の変動性があり、APIインターフェースのパラメータを調整することで制御できますが、それでも一貫した出力ではありません。この変動性は、言語対話には適していますが、コード分析などの作業には適していない問題です。多くの異なる脆弱性回答をカバーするために、同じ質問を何度もリクエストし、比較およびフィルタリングする必要があり、無意識に作業量が増加し、AIが効率を向上させる人間の助けに違反する結果となります。さらに、少し複雑な脆弱性を検出すると、現在のトレーニングモデルでは正確に分析し、関連する重要な脆弱性ポイントを見つけることができないことがわかります。現時点では、GPTは契約の脆弱性の分析と発見の能力は比較的弱いと言えますが、シンプルな脆弱性コードブロックの分析と報告テキストの生成に対する能力は使用者をわくわくさせます。将来数年間、GPTおよび他のAIモデルのトレーニングおよび開発と共に、大規模かつ複雑な契約のより高速で、よりスマートで、より包括的な補助監査が実現されると確信しています。

結語

SlowMist セキュリティーチームの回答、誠にありがとうございます。明るい場所には影もあり、ブロックチェーン業界も例外ではありません。しかし、SlowMistなどのブロックチェーンセキュリティ企業の存在により、影の中に微光を灯すことができるのです。発展とともに、ブロックチェーン業界はますます規範化され、SlowMistの将来に期待しています〜

今後もNFTGoはWeb3 Builderを招待して専門の対話を続け、私たちのTwitter:@NFTGoJPをフォローしていただければ幸いです。

皆さんからのご提案、お会いしたいBuilder、ご質問、または自己推薦したいことなど、どんなフィードバックも大歓迎です。次回のWeb3 Builder対話でまたお会いしましょう〜

Previous Post

Next Post

Leave a Reply

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Related Posts