暗号資産取引所のノード管理における安全性の調査
株式会社BUIDLの藤谷といいます.
国内と海外の暗号資産交換業者(以下:取引所)の実態調査を行なっていたので,それについての記事を何回かに分けて書こうと思っています.
3回目の今回は,ブロックチェーン(今回の対象はBitcoin, Ripple, Ethereum)ネットワークにおける取引所のノード(ウォレット)が,取引所のWebサーバと同一管理していないか,調査したことについて書いていきます.
もし同一管理していてWebサーバが乗っ取られれば,ノードもそのまま乗っ取られる恐れがあるため,今回は同一管理していないかを調査していきます.
初回の「国内・海外の暗号資産交換業者のEV証明書の取得率」については以下.
2回目の「国内・海外の暗号資産交換業者のWebサーバのセキュリティレベルと設定の調査」については以下.
本稿では,金融庁から認可を受けた認可業者と認可申請中のみなし業者を「国内取引所」と定義し,それ以外を「国外その他取引所」と定義しています.
また,対象とした暗号資産交換業者は,2019年9月の調査では,2019年9月25日時点で,Cryptocurrency Market Capitalizations [1],CryptoCoinCharts [2],WorldCoinIndex[3] に掲載されている取引所,および,金融庁 [4] より「みなし」もしくは「認可」を受けた取引所です.さらに,重複,未開設,閉鎖,Web ブラウザで取引サービスを行っていない取引所,を除外した 合計230 件の取引所を対象にしています.
また,去年にも2回調査を行なっていて,2018年12月の調査では2018年12月24日時点で,Cryptocurrency Market Capitalizations [1],CryptoCoinCharts [2],WorldCoinIndex[3] に掲載されている取引所,および,金融庁 [4] より「みなし」もしくは「認可」を受けた取引所です.さらに,重複,未開設,閉鎖,Web ブラウザで取引サービスを行っていない取引所,を除外した 合計246 件の取引所を対象にしています.
2018年4月の調査では,2018 年 4 月 4 日時点で,Cryptocurrency Market Capitalizations [1],CryptoCoinCharts [2], および,金融庁 [4]より「みなし」もしくは「認可」を受けた取引所の,重複,未開設,閉鎖,Web ブラウザで取引サービスを行っていない取引所,を除外した 225 件の取引所を4月のデータでは対象にしています.
ブロックチェーンネットワークのIPアドレス収集について
以下の方法で収集した各ブロックチェーンネットワークのIPv4アドレスと取引所のWebサーバの IPv4 アドレスが(1),(2)に該当するかを調査していきます.
(1)完全に一致する
これは取引所が暗号資産のネットワークノードとWebサーバを同じサーバで管理してることを意味します.仮にノードが堅牢であってもWebサーバにある脆弱性をつかれてWebサーバが乗っ取られれば,ノードも乗っ取られる恐れがあります.
例えば,Web サーバの脆弱性が突かれて侵入され,ウォレットの秘密鍵が盗まれるといったケースが想定されます.
(2)第3オクテットまで一致する(同じネットワーク)
第3オクテットとはIPアドレスが192.168.1.2とすると,192.168.1の部分(先頭24bit)のことを指しており,この第3オクテットまで一致していれば同じネットワークであるという元で調査しました(IPアドレスに関してはこちらをご覧ください.)
取引所は他のユーザと比べて多大な額の暗号資産を取引します.そのため,取引所 Web サーバの IP アドレスとノードの IP アド レスが同じネットワークに属していると,ノードがどの取引所のものであるか推測される恐れがあります.
通常 ,Bitcoin アドレスとノードの IP アドレスは秘匿性の観点で関連づけられないようになっていますが,Deanonymization 攻撃によって Bitcoin のアドレスと IP アドレスを紐づけられる可能性があること[5]も報告されています.
そのため,同じネットワークで管理しないほうが望ましいのではないかという考えのもとでこちらも調べていきます.
※ただし,AWS等のクラウドサーバーであると,同じネットワークであっても全然違うユーザが入り混じって管理しているというケースもあるため,一概には言えないとも考えています.
BitcoinネットワークのIPアドレス収集について
Bitcoin ネットワーク上の接続可能なピアについて,2018年4月の取引所データとの調査では2018/1/10–2018/3/13 (UTC+9) の期間までに出現した IPv4 アドレスを,2018年12 月の取引所データとの調査では 2018/11/12–2018/12/31 (UTC+9) の期間までに出現した IPv4 アドレスを,2019年9月月の調査では 2019/09/25–2019/10/01 (UTC+9)の期間で出現した IPv4アドレスを,Bitnodes[6]よりAPIで取得しました.
RippleネットワークのIPアドレス収集について
Ripple ネットワーク上の接続可能なピアについて,2018/11/12–2018/12/31 (UTC+9) の期間までに出現した IPv4 アドレスを,2019年9月月の調査では 2019/09/25–2019/10/01 (UTC+9)の期間で出現した IPv4アドレスを,公式 が提供する API[7]にて取得しました.
EthereumネットワークのIPアドレス収集について
Ethereum ネットワーク上の接続可能なピアについて,2018/11/12–2018/12/31 (UTC+9) の期間までに出現した IPv4 アドレスを,2019年9月月の調査では 2019/09/25–2019/10/01 (UTC+9)の期間で出現した IPv4アドレスを, ethernodes[8] より JSON 形式でデータを取得しました.
Bitcoinネットワークとの分析結果
まずは表1に2018年4月時点での取引所の IP アドレスと Bitcoin ネットワークで収集した IP アドレスの一致結果です.
6 件の取引所でピア内の IP アドレスと取引所の IP アドレスが完全に一致し,また別の 6 件の取引所でピア内の IP アドレスと第 3 オクテットまで一致しました.
この完全一致した6件に関しては,Webサーバが乗っ取られれば,ノードも乗っ取られる恐れがあるため,管理に問題があると考えています.
第3オクテットまで一致した6件に関しては,管理会社を見てみると,いずれもクラウドサーバを提供している会社なので,同じネットワークであっても全然違うユーザが管理しているというケースも考えられるため,一概には言えないかと考えています.
なお,表内にあるCountryはサーバーの設置された国,ASIncはサーバーの運営管理会社,LEVELはTLS証明書のレベル,ResultはMATCHが完全一致でOCTETが第3オクテットまで一致という内容になっています.
次の表2は2018年12月時点での取引所の IP アドレスと Bitcoin ネットワークで収集した IP アドレスの一致結果です.
完全一致した取引所は4月の6件から0件になり,第3オクテットまで一致した取引所も6件から4件に減少しました.
また,2018年4月の調査で,第3オクテットまで一致していなかったJP-A社とM社,N社が今回は一致し,I社は同様に第3オクテットまで一致しました.
4 月に一致した取引所を調査すると,完全一致したA社が一時的に取引を停止, F 社がすでに閉鎖しており, 完全一致した E 社は 9 月下旬に SSH の脆弱性をついたハッキング被害で 30%ほどの仮想通貨が盗まれ,取引を停止 [9] していました.
次の表3は2019年9月時点での取引所の IP アドレスと Bitcoin ネットワークで収集した IP アドレスの一致結果です.
IP アドレスの収集期間が1週間と短かったのが影響したかと考えられますが,完全一致した取引所は0件(2018年4月:6件,2018年12月:0件)になり,第3オクテットまで一致した取引所も3件(2018年4月:6件,2018年12月:4件)になりましました.
また,2018年12月の調査で,第3オクテットまで一致していなかったO社が今回は一致し,JP-A社とI社は同様に第3オクテットまで一致しました.
Rippleネットワークとの分析結果
次の表4は2018年12 月時点での取引所の IP アドレスと Ripple ネットワークで収集した IP アドレスの一致結果です.
3 件の取引所でピア内の IP アドレスと第 3 オクテットまで一致しました.
なお,表内にあるCountryはサーバーの設置された国,ASIncはサーバーの運営管理会社,LEVELはTLS証明書のレベル,ResultはMATCHが完全一致でOCTETが第3オクテットまで一致という内容になっています.
第3オクテットまで一致した3件に関しては,管理会社を見てみると,いずれもクラウドサーバを提供している会社なので,同じネットワークであっても全然違うユーザが管理しているというケースも考えられるため,一概には言えないかと考えています.
次の表5は2019年9月時点での取引所の IP アドレスと Ripple ネットワークで収集した IP アドレスの一致結果です.
IP アドレスの収集期間が1週間と短かったのが影響したかと考えられますが,完全一致した取引所は0件(2018年12月:0件)で,第3オクテットまで一致した取引所は2件(2018年12月:3件)になりましました.
また,2018年12月の調査で,第3オクテットまで一致していなかったS社が今回は一致し,JP-B社は同様に第3オクテットまで一致しました.
Ethereumネットワークとの分析結果
次の表6は2018年12 月時点での取引所の IP アドレスと Ethereum ネットワークで収集した IP アドレスの一致結果です.
1 件の取引所でピア内の IP アドレスと取引所の IP アドレスが完全に一致し,また別の 9 件の取引所でピア内の IP アドレスと第 3 オクテットまで一致しました.
なお,表内にあるCountryはサーバーの設置された国,ASIncはサーバーの運営管理会社,LEVELはTLS証明書のレベル,ResultはMATCHが完全一致でOCTETが第3オクテットまで一致という内容になっています.
次の表7は2019年9月時点での取引所の IP アドレスと Ethereum ネットワークで収集した IP アドレスの一致結果です.
IP アドレスの収集期間が1週間と短かったのが影響したかと考えられますが,完全一致した取引所は1件(2018年12月:1件)のままで,第3オクテットまで一致した取引所は3件(2018年12月:9件)になりましました.
また,2018年12月の調査で現れていた取引所の内4件が全て今回も出現しました.
なお2018年12月ならびに2019年9月で完全一致したO社に関しては今も取引を行っていました.
まとめ
今回は,取引所のWebサーバと取引所のノードが同一管理(つまりIPアドレスが一致)していると,仮にノードが堅牢であってもWebサーバにある脆弱性をつかれてWebサーバが乗っ取られれば,ノードも乗っ取られる恐れがあり危険であるという考え,同一管理していなくても同じネットワークにあると取引所のWebサーバと同じネットワークであると取引所のノードが推測される恐れがあるという考え,の元で,IPアドレスが完全一致もしくは第3オクテットまで一致しているかを調査していきました.
複数の時期で比較してきた結果,完全一致の件数ならびに第3オクテットまで一致する件数は減少してきているので,取引所のノードの管理が改善されてきたのではないかと考えています.特にBitcoinについては,2018年4 月は完全一致が 6 件,第 3 オク テットまで一致が 6 件だったのに対して,完全一致は2018年12月ならびに2019年9月で0件,第 3 オクテットまで一致は2018年12月: 4 件,2019年9月:3件,だけでした.
BUIDLでは一緒に働くメンバーを募集しています!
現在の募集職種はwantedlyをご確認ください。
会社のフォローと、募集への応援もお願いします!
BUIDLのTwitterもぜひフォローお願いします!
