包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、ブロックチェーン・エコシステム「Everscale」< https://everscale.network/ >の一部であるEver Surfウォレットのウェブ版に脆弱性を発見しました。この脆弱性を悪用することで、攻撃者は被害者のウォレットを完全に制御できる可能性がありました。CPRは、脆弱性を認識したEverscaleのチームと協力し、脆弱性のあるウェブ版に代わる新しいデスクトップ版をリリースしました。
ブロックチェーン技術
ブロックチェーン技術や分散型アプリケーション(dAPP)は、ユーザにさまざまなメリットを提供します。例えば、ユーザはアカウントを作成せずにサービスを利用することができ、JavaScriptで書かれた1ページのアプリケーションとして実装することが可能です。この種のアプリケーションは、Webサーバーなどの中央集権的なインフラとの通信を必要とせず、ブロックチェーンと直接、あるいはMetamaskのようなブラウザ拡張機能を用いて対話することができます。
この場合、ユーザはブラウザ拡張機能またはウェブウォレット内のローカルマシンにのみ保存されるキーを使用して識別されます。分散型アプリケーションやウォレットが機密データをローカルに保存する場合、このデータが確実に保護されていることを確認する必要があります。多くの場合、dAPPはブラウザ内部で動作するため、XSSなどの攻撃に対して脆弱である可能性があります。
本リサーチでは、Everscaleブロックチェーン(旧Free TON < https://en.wikipedia.org/wiki/Telegram_Open_Network#Post_Telegram >)向けのウォレットであるEver Surfのウェブ版 < https://web.ever.surf/ >に発見された脆弱性について説明しています。この脆弱性を悪用することで、ブラウザのローカルストレージに保存されている秘密鍵やシードフレーズを復号することが可能で、攻撃者は被害者のウォレットを完全にコントロールすることができます。
責任ある開示とEverscaleとの協業
CPRは、Ever Surfの開発者に本脆弱性を開示し、その後、本脆弱性を緩和したデスクトップ版をリリースしました。Web版は現在、非推奨とされており、開発目的にのみ使用する必要があります。暗号資産を保存している口座からのシードフレーズは、Ever Surfのウェブバージョンで使用しないでください。
安全を確保するためのヒント
ブロックチェーンの取引は不可逆的であることを、私たちは皆様にお伝えしたいと思います。ブロックチェーンでは、銀行とは異なり、盗まれたカードをブロックしたり、取引に異議を唱えたりすることはできません。ウォレットのキーが盗まれた場合、あなたの暗号資金はサイバー犯罪者の格好の餌食となり、誰もあなたのお金を取り戻す手助けをすることができません。鍵の盗難を防ぐために、私たちは次のことをお勧めします。
- 不審なリンク、特に知らない人からのリンクにはアクセスしない
- OSやアンチウイルスソフトを常に最新の状態に保つ
- 検証されていないソースからソフトウェアやブラウザの拡張機能をダウンロードしない
まとめ
ブラウザのローカルストレージは保護されていないため、そこに保存されるデータは安全に暗号化される必要があります。Surfは鍵の導出と暗号化に信頼できる暗号ライブラリを使用しているにもかかわらず、Surfのウェブ版における機密データは十分な保護を受けていないように見えます。
CPRのPoCでは、今回発見された問題を組み合わせることで、攻撃者が秘密鍵やシードフレーズを平文で入手し、被害者の財布を完全に制御するために利用できる攻撃ベクトルが複数存在することが示されています。
チェック・ポイントの研究者は、Ever Surf社のチームと協力し、同チームは脆弱性のあるウェブ版を廃止した上で、デスクトップ版に置き換えることを決定しました。Ever Surf社は、新バージョンに関する記事を発表し、その中で次のように述べています。
「チェック・ポイント・リサーチは、Surfのウェブ版のセキュリティ状況について独自に調査を行い、その弱点を発見しました。この報告に従い、すべてをチェックし、脆弱性が存在することを確認しました。弊社のWeb版では、そのプラットフォームに固有のデバイスIDなどのソルトを提供できないため、パスワードベースのKDFを安全に使用することができません。簡単に言えば、ウォレットやその上の資産にアクセスする方法が理論的に存在することを意味します。
そのため、ユーザを危険にさらすことのないよう、早急に解消する必要がありました。もはやSurfのデスクトップアプリのリリースを延期するわけにはいかないということが明らかになったのです。私たちの基本的なアイデアは、既存の Web アプリケーションを Electron パッケージャにラップし、その中にユニークな machineID を渡して、そのハッシュを鍵導出のためのソルトとして使用することでした。こうすることで、Web版で慣れ親しんだインターフェイスやあらゆるものを維持することができます。私たちは、ユーザエクスペリエンスを阻害したくないため、強固で強力なパスワードを記憶する代わりに、短いPINでアプリのロックを解除することができます。長い目で見れば、デスクトップ版の方がウェブ版よりも選択肢が多いのです」
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ:https://research.checkpoint.com/
Twitter:https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan