ビットコインの情報サイトの運営者ブログ

サイトには掲載していない仮想通貨に関する時事的な情報や個人的な感想など。中級者以上向け。

(元々そんなに安全なウォレットではないけど)Jaxxの「脆弱性」はそんなに深刻ではないよという話

本日、複数種類のコインを保管できるウォレットで有名なJaxxに脆弱性が見つかりETH,ETC,ZECなど計約40万ドルもの大金が盗まれたとのニュースが流れてきました。

Jaxxウォレット、脆弱性により$400,000ドル相当の暗号通貨が盗まれる

www.cryptocoinsnews.com

一大事ではありますが、FUDとまではいかないもののかなりセンセーショナルな見出しであり、必要以上に深刻なものなのではないかと不安に思う人も多そうですし、内容を正確に理解することでリスク軽減にもつながると思うので軽く捕捉記事を書いておきます。

Jaxxの「脆弱性」とはどんな脆弱性か

脆弱性というと非常に難解な場合もあるのですが、今回は全く難しくはない内容です。大本のソースを読んでもらえればすぐわかると思いますが、一言でいえば「ウォレットのパスフレーズが暗号化されていない」という脆弱性です。

正確に言えば暗号化はされているのですが、ユーザーがそれぞれで暗号化パスワードを設定できるのではなく、元々のソフトのコード内で規定されている同じ暗号化パスワードが常に使用されています。ソースコードを読めばすぐに暗号化パスワードがわかってしまい、すぐにパスフレーズが解読されてしまうために、実質暗号化されていないも同然の状態ということになります。

ただし、これはパスフレーズが暗号化されていないというだけで、「パスフレーズを外部に送信する」みたいな何かソフト自体にとんでもない脆弱性が含まれているということではなく、ウォレットをインストールしている端末自体が不正アクセスを受け、端末内のファイルを外部から見られる状態にならない限り盗まれることはありません

ゼロではないでしょうが、実際にこの脆弱性が原因で資産を盗まれた人は少ないのではないでしょうか。この脆弱性を指摘していた大本のサイトでも、別途自分でウォレットファイルを暗号化することにより脆弱性を修正できると書かかれています。

PCなどの端末がハッキングされてしまえば、ウォレット以外のすべてのファイルも盗まれることを意味します。万が一不用意にテキストファイルなどにパスワードを保管していればそれもすべて盗まれてしまいますし、今回のJaxxの脆弱性がなくユーザー設定のパスワードにより暗号化されていたとしても、ハッキングを受けるほどであれば容易にキーロガーを仕込まれて暗号化パスワードを盗まれ、結局パスフレーズも盗まれてしまうことが考えられます。

また、今回のニュースではPC版のJaxxが被害にあったようですが、他のiPhoneやAndroidでもコードベースは同じだと考えられ、万が一スマートフォンがハッキングされてしまえば、同様に簡単に盗難されてしまうと考えられます。あくまでも一般論としてネット経由のハッキングのリスクがスマートフォンよりもPCのほうが高いということにしかすぎません。

今回のニュースを見てとにかく急いで取引所に移したとしても、取引所のアカウントが不正アクセスを受けて不正送金されるリスクも同様に高いので、正直なところ大きな違いは無いと思います。

オンライン環境下のウォレットはそもそも危険度が高い

今回具体的にどのような手段で盗まれたのかは不明ですが、ハッカーの手間的に個人のPCがハッキングを受ける確率はかなり低いと考えられ、実際的には今後はマルウェアの拡大によって被害が増えていくことが考えられます。万が一パスフレーズを盗むようなウイルスに感染してしまった場合には、パスフレーズが暗号化されていれば多少はリスクが軽減されるかもしれませんが、暗号化されていたとしても資産を失うリスクは高いと思われます。

ということで、そもそも40万ドルもの大金をインターネットに接続されているウォレットに保管するのは、JaxxだろうがMyEtherWalletだろうがMistだろうがBitcoin Coreだろうが正気の沙汰ではありません。

結局どうするのが良いか

とはいえ、さすがにパスフレーズの暗号化すらまともにされていないJaxxはお粗末としか言えませんし、早急の対応が望まれます。※Jaxxは今後対応するつもりがないとの情報も出回っていますが、JaxxのCOOによれば修正対応予定のようです。

もともと小銭程度しかJaxxに保管していない人はそこまで神経質になる必要はない気がしますが、いずれにしても、今回の件をきっかけにより安全な方法での保管を考えるのはいいことです。

結局アドバイスをするならば、ハードウェアウォレットにしておけばいいよ、というのが一番無難な回答になってしまいます。ただし、ハードウェアウォレットも故障や不良品のリスクがありますし、100%安全なものではなく、最終的には12or24単語のパスフレーズをいかにして安全に紛失せずに保管するかという話になってきます。

人によって金銭感覚は違うと思いますが、少なくとも数百万から数千万以上の大金はハードウェアウォレットであっても過信せず、複数の端末・場所に分散保管するということをおすすめします。

ちなみに自分自身はビットコインに関しては、大部分を2PC(オフラインとオンライン環境)とか複数端末間でのマルチシグのウォレットを中心に分散保管しています(マルチシグは複数端末が必要でハードルがやや高いのと、盗難リスクは下がるものの紛失リスクが上がるので万人にはあまりお勧めできない・・・)。その他のアルトコインは種類だけはかなり多いものの量は雀の涙ほどしか持っていなかったので、今まではかなり適当に保管していましたが、最近のアルト全面高により結構な金額になってしまったこともあり、これをきっかけに宝の持ち腐れになっているハードウェアウォレットに移したり対応していないものは別の方法を考えなければ・・・と思っています。