ブロックチェーンとセキュリティ in NYC

皆さま、あけましておめでとうございます!ブロックラビットのカゲです。今年もよろしくお願いいたします。NYでは寒いこの季節でも熱いブロックチェーン談義いたるところで行われています!とお伝えしたいところですが、やはり12月と1月はイベント少なめです。だって毎日寒いですから。私もなるべく外になんて出たくないです。でも本当の極寒のニューヨークはこれからやってくるのです。ひえ〜恐ろしい。。。

まー恐ろしいといえば、そう、ハッキングですね。昨年2018年はハッキングと流出で呪われたクリプト日本社会だったのではないでしょうか。出川哲郎と剛力彩芽が嫌いで嫌いでしょうがないローラが藁人形を神社の裏で釘を打っていたとしか思えません。さて、そんな怖い怖い言っていても仕方がありません。では我々はどうやって戦えば良いのでしょうか?そんな答えを探しに昨年12月12日に行われた「ブロックチェーンとセキュリティ」と題したカンファレンスに行ってまいりました!

1、イベントの概要

ブロックチェーンとセキュリティ」と題された今回のカンファレンス。そもそもブロックチェーン自体がセキュリティとは融和性の高い仕組みなのではないだろうか?そんな疑問を持ちながら参加しました。主催はTRAIL of BITSというITセキュリティを専門にした会社。

FacebookからDARPAまで、製品やネットワークを監査し、セキュリティの相談に乗り、様々なITセキュリティに関する研究を行なっています。今話題のステーブルコイン開発のバックエンド側のセキュリティをマネージングするなど、ブロックチェーン関連のセキュリティ対策についての研究や実績も多く行われています。非常にハイエンドな仕事をしているTRAIL of BITSの主催。

今回は米国最大の仮想通貨取引所のコインベースのデジタル資産を強固に守るセキュリティ対策のディレクターや、コーネル大学の教授、ステーブルコインのセキュリティ担当者、主催者であるTRAIL of BITSの精鋭など10名のセキュリティの専門家が登壇しました。

2、場所は Buzz Feed

開催された場所は、ユニオンスクエア近くのBuzz Feed本社。Buzz Feedとは言わずと知れたアメリカのメディア企業で日本でもヤフーと共同でBuzz Feed Japanを設立しています。

さすがノリに乗っているBuzz Feedです、ゴージャスな建物に謎のオブジェまで‥。

当日はブロックチェーンのカンファレンスを行なっている真横で、フード関連の撮影が行われているという、あーここであの映像は作られているのかーと、バズフィードのおしゃれなフード関連の映像を見たことがある人はちょっと感動してしまうNY最先端といった雰囲気でした。

3、TRAIL of BITSのCEO、Dan Guido さん

ダンさんは今回のカンファレンスの主催者で、セキュリティ業界ではとても有名な方です。
政府関連の仕事をしていたダン氏はIT、ソフトウェアのサイバーセキュリティのための会社TRAIL of BITSを2012年に設立しました。

1,000人のメンバーを持つNYのサイバーセキュリティ専門家と会合を行うEmpire Hackingを運営しており、今回のカンファレンスもその一環です。
ダンさんはステーブルコインのGeminiのセキュリティを手がけた実績を持ち、他に4つのテクノロジー企業の経営に参加しています。

*2019年4月12日更新 こちらの記事でもTrail of Bitsさんをご紹介しております。

クリプト訪ねて三千里:第12 話 Trail of Bits

アメリカで現在、実験的にはじまっているブロックチェーン技術を使った投票システムのセキュリティに関しての発表でした。
安全だと思われているブロックチェーンで開発しても実際にはとてもバグが多くあり、問題が生じることがあるので、セキュリティがとても重要であると話されました。
彼はNYで開催されるセキュリティ系のイベントに引っ張りだこです。ブロックラビットも取材を申し込みましたが、スケジュールが詰まっているとのこと。いつか必ずお話をお聞きしたいです。

実はこのダンさん、2018年の7月にNew York Universityで行われたenterpriseblockchainforum.com というイベントにて、素晴らしいオリジナリティのあるセキュリティとブロックチェーンに関するプレゼンを拝見してその時から大ファンなのですが、是非とも日本へ行きましょうと何度もお話をしております。是非とも日本で講演していただきたいです。

4、Coinbaseのセキュリティエンジニア、Shamiq Islamさん

アメリカで最も有名な仮想通貨取引所、Coinbaseのアプリケーションセキュリティ対策のエンジニア。

シャミックさんは、コインベースがセキュリティ対策でどういうことに気をつけているか、という話をされました。

「サプライチェーンや、スペックとノードの関係性、スマートコントラクトに対して、ハッシュパワーに対してなど、セキュリティに関して考えるべきことは山ほどあります。

コインベースでは、デジタル・アセット・セキュリティ・アナリス・フレームワーク(DASAF)という独自のフレームワークを作っています。このフレームワークにそって、チームがセキュリティに関して対策を行っています。

コインを送るとき、受け取るときなど、様々な局面でどこにフォーカスしてセキュリティを考えるべきか、細部にわけて検討します。過去の経験から分析し、例えば人の問題、コンピューター、ネットワークの問題といった様々な問題をチェックしていきます。」

サシャミックさんのお話から、コインテックは、基本にのっとった非常にしっかりしたセキュリティ対策を行っていると感じました。

5、TRAIL of BITSのセキュリティエンジニア、Josselin Feistさん

ジョセリンさんは、バイナリコードと脆弱性を研究しているTRAIL of BITSのセキュリティエンジニアです。

「スマートコントラクトのアップグレードのリスクと回復(Contract update risks and remediations)」というテーマでしたが、かなり難解なお話でした。
「スマートコントラクトは、バグが発生したり、財布が盗まれたり、誤った設定により罠にかけられる可能性があります。バグのないコントラクトでも、秘密鍵を盗まれ乗っ取られる可能性があります。コントラクトの新しいインスタンスを展開し、ユーザーへ機能を復元するためには、適切に初期化する必要があります。」

「コントラクトの開発者は設計段階で2つの移行手順を準備する必要があります。

  1. 移行するデータの回復
  2. 新しいコントラクトにデータを書き込む

詳しくはこちら「どのようにコントラクトを移行するか(How contract migration works)」

コントラクトをアップグレードすれは、前述の危険性は解消されます。しかしコントラクトをアップグレードする既存の手法には欠陥があり、複雑さを増し、最終的にはバグが発生します。TRAIL of BITSではZeppelinコントラクトアップグレードをリリースし、欠陥に対応しています。詳しくはこちら「コントラクトのアップグレードのアンチ・パターン(Contract upgrade anti-patterns)」

6、ZキャッシュのIan Miersさん

Zcashは分散型の仮想通貨で、とても匿名性が高いことで知られています。その秘匿性により、大手の取引所では扱いが難しいほどです。イアンさんはコーネル大学とZcashに属しています。

イアンさんの発表の題は面白いものでした。
ビットコイン(Satoshi)は丸裸ーオンチェーンのプライバシーの失敗(Satoshi Has No Clothes-Failures in On-Chain Privacy)」

ビットコインを始め、仮想通貨はブロックチェーンによりトランザクション自体を追跡できるシステムです。
追いかけられるということは、誰が送ったのかわかるということですよね。

この5人の中の3人の内の誰かが送ったことがわかってしまうといことであり、どこで支払ったかがわかると、そこを狙ってアタックが可能ということです。
仮想通貨はまだまだセキュリティが脆弱で、プライバシーに関して研究していかなければなりません。
これには色々なアプローチがあり、ひとつずつ試していく必要があります。

ビットコインに代表される仮想通貨は、支払いのプライバシーを提供すると考えられていました。
しかし実際には、現在のトランザクションをベースにしたアプローチは、根本的にプライバシーを守りきれません。
既存のアプローチに対する3つの攻撃が考えられます。

  • Overseer attack:コイン元や両替所をまたいで顧客を追跡できるオーバーシアーアタック
  • Flashing attack:匿名で送られたコインの受け取る元を特定できるフラッシングアタック
  • Tainted Dust attack ターゲットが定期的に資金を使っている場所が誰にでもわかるようになってしまうテインテッドダストアタック。

この時はそこまでZcashに関して触れられていませんでしたが、このビットコインのセキュリティの脆弱性を煽ることで逆説的に自分たちの手がけているZcashに価値があると言いたいというポジショントークにしか聞こえないところもありましたが、実際にまだまだビットコインや他の仮想通貨には改善が必要な部分があるというのは確かにその通りだと思いました。

7、メキシカンのケータリング

今回のカンファレンスは食事が用意されていました。
Dos Trosというメキシカン・レストランからのケータリングでしたが、野菜・肉・トルティーヤなどを自由に取っていくスタイルで、これならベジタリアンなど個人の好みへの対応ができますし、とてもいいと思いました。そしてビールも飲み放題でした!

8、まとめ

今回のカンファレンスは中規模で、参加者もかなり多く、注目されていると感じました。
登壇者に共通していた意見は、仮想通貨やブロックチェーン技術はセキュリティに改善の余地がまだまだあるということ。
様々なアプローチで研究をしていかなければならない課題であり、着せてあげる服(セキュリティ)が要るよね、というお話でした。
特にこういったセキュリティに特化したカンファレンスの場合はICOやトークンに関しての話は少なく、かなり本気でブロックチェーンの開発に取り組んでいる会社が多く、とても有意義な話が聞けてよかったです。是非とも日本でもこういったカンファレンスをやっていただきたいですね!