仮想通貨ウォレットの安全性を調査|CERが「セキュリティ評価レポート」を公開
仮想通貨ウォレットのセキュリティ評価レポートを公開
サイバーセキュリティ認証プラットフォームの「CER」は2023年7月17日に、合計45の仮想通貨ウォレットを調査分析した結果をまとめた「仮想通貨ウォレットのセキュリティ評価レポート」を公開しました。
今回のレポートでは仮想通貨ウォレットの重要性やその現状などについて情報がまとめられており、セキュリティ評価で高いスコアを獲得したウォレットについての紹介もなされています。
この記事では、今回公開されたセキュリティ評価レポートの要点を簡単にまとめています。
仮想通貨ウォレットの重要性
仮想通貨ウォレットはWeb3関連サービスにアクセスする際に広く利用されるツールであり、最近では各種暗号資産に加えて分散型IDなどの管理でも利用されるようになってきているため、その重要性は増してきている。
今後も仮想通貨ウォレットの重要性がさらに高まっていくと予想されることから、各種仮想通貨ウォレットのセキュリティ評価を行なった上でレポートを公開することにした。
今回の調査では12のプラットフォームにわたる合計45のウォレットに関する詳細な分析が行われている。この調査では「管理方法・復元方法・セキュリティ監査履歴・バグ報奨金・侵入テスト・インシデント記録」などを含む様々なデータの分析が行われている。
ID関連で話題の通貨はこちら
分類別のウォレット評価
仮想通貨ウォレットは大きく分けると「デスクトップウォレット・モバイルウォレット・拡張機能ウォレット」の3種類に分類される。
デスクトップウォレットは基本的に様々な機能と堅牢なセキュリティを備えているが、デスクトップPCで利用する必要があるため、アクセス面に関してはある程度の制限がある。
モバイルウォレットは基本的に携帯性に優れていて使いやすさを重視した設計になっているが、モバイル端末を利用することに伴うセキュリティ上の課題が存在する。具体的には「デバイス盗難・ハッキング・モバイルOSの脆弱性」などのリスクで資産が盗まれる可能性がある。
拡張機能ウォレットはデスクトップとモバイルのバランスを保つウォレットで、ブラウザから直接DAppsを操作できる利便性と実用性を備えている。しかし、そのセキュリティはブラウザ全体のセキュリティと密接に関連している。
これら3つのグループにおける各ウォレットのスコアを100点満点で評価した際の平均点は以下の通り。
種類 | スコア |
デスクトップウォレット | 48 |
モバイルウォレット | 51 |
拡張機能ウォレット | 58 |
ウォレット分類の詳細はこちら
監査や侵入テストの不十分さ
仮想通貨ウォレットの調査を行なった結果「多くのウォレットは監査や侵入テストを行なっていない」ということが発覚した。ただし、これはアプリの更新量にも関連するものであり、新しく更新されるたびに以前行われた侵入テストが失格になる可能性がある。
調査で判明したのは「何らかの監査を実施しているウォレットは45ブランド中の14ブランドのみ」「侵入テストを実施しているウォレットは45ブランド中の6ブランドのみ」ということだ。
徹底した監査が実施されていればハッキングのリスクを大幅に低減できるため、ウォレットを選ぶ際には「侵入テストや監査を受けているか」を確認することが重要。なお、最も入念な監査を行なっていたのは「メタマスク」である。
メタマスクの詳細はこちら
「Atomic Wallet」との比較
2023年6月、100万ダウンロードと500万ユーザーを誇る仮想通貨ウォレット「Atomic Wallet」で大規模なハッキング被害が発生した。これにより、推定3,500万ドル〜1億ドル相当の暗号資産が失われた。
Atomic Walletのスコアはハッキング前は41だったが、事件後のスコアは31まで低下した。ダウンロード数が「Atomic Wallet」と同程度であるにも関わらず、セキュリティスコアが高かったウォレットは以下の5つ。
ウォレット | スコア |
Exodus | 69 |
imToken | 67 |
TokenPocket | 62 |
Coinomi | 47 |
Mycelium | 45 |
ハッキング当時の記事はこちら
ユーザー数が多いほどセキュリティ対策を講じている傾向
調査の結果「インストール数」と「企業が講じるセキュリティ対策の量」には高い相関関係があることが判明した。1,000万人以上のユーザーを有する全てのウォレットはより多くのセキュリティ対策を講じているため、評価がトップになっている。
人気のウォレットはユーザー基盤を保護するために堅牢なセキュリティ対策を行う傾向がある。逆に「安全性の高いウォレットが新規ユーザーを惹きつけている」という可能性もある。
ただし「Atomic Wallet」はこの法則に反するもので、人気があるにも関わらずにセキュリティスコアが低かったため、注意が必要である。
「オープンソース」と「クローズドソース」
ウォレットには「オープンソース」のものと「クローズドソース」のものがあるが、オープンソースのウォレットはハッキングされるリスクがかなり高くなる。
CERの調査では「Edge・MyEtherWallet・Electrum・Ledger Live・Trezor」という5つのオープンソースウォレットでセキュリティ上の問題点が見つかった。
部分的にオープンソースのウォレットはハッキングされていないが「オープンソースウォレットの平均インシデント率は13.87%で、クローズドソースウォレットの平均インシデント率は18.48%」という興味深い結果も出た。
ユーザーは「オープンソースかクローズドソースか」よりも「堅牢なセキュリティ対策・定期的なアップデート・効率的な脆弱性管理を一貫して実証しているウォレット」を優先する必要がある。
こちらの記事もあわせてどうぞ
バグ報奨金制度はセキュリティ強化に役立つ
オープンソースウォレットは「バグ報奨金プログラム」を導入することによってセキュリティを大幅に強化することができることが証明されている。
バグ報奨金プログラムでは、外部の研究者やホワイトハッカーが脆弱性の調査を行うため、バグが見つかる可能性が高くなり、ウォレットの安全性強化に役立つ。
調査対象のウォレットでは、45個のウォレットの中の23個がバグ報奨金プログラムを導入していた。
バグ報酬金制度は国内取引所でも
ハードウェアウォレットは安全性を高める
ハードウェアウォレットを活用すれば、ウォレットが攻撃された場合に資産を失う可能性を下げることができる。一部のソフトウェアウォレットはハードウェアウォレットとの連携に対応している。
ハードウェアウォレットとの互換性があるウォレットは、互換性がないウォレットと比較して、インシデントが少ない傾向にある。
ハードウェアウォレットはセキュリティ問題に対する特効薬となる訳ではないのものの、資産盗難の被害を抑えて安全性を高めるために有効であることが示されている。
Trezorの詳細はこちら
取引に関する情報提供が不足
調査の結果「全ウォレットの約3分の1がトランザクションに関する十分な情報を提供していない」ということが判明した。ウォレット側が提示すべき情報としては以下のようなものが挙げられる。
- 受信アドレス
- 取引手数料
- 取引金額
- 取引の内容を説明するメッセージ
- どのようなアクセス許可をどのアドレスに付与するか
- 取引によって影響を受ける資金額
- 考えられる影響
仮想通貨業界ではフィッシングや詐欺が増加しているため、ウォレット提供側はトランザクションに関する説明をしっかりと行うことが重要で、必要に応じて警告を発する必要がある。
ゼロ送金詐欺にも要注意
バックアップを求めるアプリが少ない
ウォレットのバックアップ作成を求めるモバイルアプリは44.76%であるということが判明した。これはウォレット側が「ユーザーの利便性」を重視しているためである可能性がある。
バックアップを求めるとユーザーに「不便である」との印象を与えるかもしれないが、セキュリティの観点から考えると「シードフレーズ」や「秘密鍵」を自己管理してもらうことが最優先事項となる。
ユーザーには「新規ウォレット作成時にバックアップを作成すること」を強く推奨する。開発者には「ユーザーアカウントのセキュリティを強化するために設計戦略を再検討すること」を推奨する。
重要情報の盗難にも要注意
結論と推奨事項
調査の結果、ウォレットの種類やプラットフォームに関係なく「適切で関連性のある監査と侵入テストが欠如している」という共通の欠点があることがわかった。開発者は定期的かつ徹底的なセキュリティ評価・監査・侵入テストを開発ロードマップに組み込む必要がある。
「オープンソースソフトウェア」と「サードパーティがホストするバグ報奨金」の組み合わせによって、回復力のあるセキュリティを確保することができる。オープンソースモデルを支持する場合は「バグ報奨金プログラムの実装」に加えて「サードパーティがホストするオプションの選択」を推奨する。
ユーザーは仮想通貨ウォレットを選ぶ際にセキュリティを考慮することが重要。最初に「ウォレットの評判」と「過去の歴史」を評価して、ハッキングなどの報告があった場合には注意する必要がある。
次に「アプリ全体の監査・侵入テスト・バグ報奨金」を確認することによって、”開発者がセキュリティにどれだけ注意を払っているか”がわかる。人気のウォレットはセキュリティ評価が高い傾向にあるが、人気がないウォレットの場合は別のウォレットを選ぶ方が良いと考えられる。
Ledger製品の詳細はこちら
(CER報告)