ビットコイン狙う不正コードがNode.jsライブラリに BitPayのウォレットアプリに影響

BitPayのビットコインウォレットアプリに使われているNode.jsパッケージに、不正なコードが仕込まれていたことが判明。この業界のエコシステムが抱える問題を指摘する声も出ている。

[鈴木聖子，ITmedia]

　ビットコインウォレットアプリを提供する米BitPayは11月26日、同社のアプリに使われているサードパーティーのNode.jsパッケージが改ざんされて不正なコードが仕込まれ、ユーザーの秘密鍵が流出した可能性があることが分かったと発表した。

　同社のアプリ「Copay」のバージョン5.0.2〜5.1.0を使っている場合、アプリを実行したり開いたりしないよう呼び掛けている。

BitPayのリリース

　BitPayによると、不正なコードは「Copay」「BitPay」のバージョン5.0.2〜5.1.0で確認された。ただ、BitPayはこのコードの影響を受けないとしている。Copayについては、ユーザに対して悪用されていないかどうかを調べているという。

　同社はこの問題に対処するため、CopayとBitPayの更新版となるバージョン5.2.0をリリースした。影響を受けるバージョンのユーザーは、秘密鍵が破られた可能性を想定して、資金を直ちに新しいバージョン（v5.2.0）のウォレットに移すよう促している。

　報道によると、不正なコードが仕込まれていたのは「Event-Stream」というNode.jsライブラリで、npmリポジトリから1週間に200万以上もダウンロードされている人気ライブラリだった。

　この問題について報告したソフトウェアエンジニアのクリス・ノースウッド氏によると、Event-Streamのメンテナンスを作者から引き継いだユーザーがコードに手を加え、2018年9月から10月にかけて、悪質なコードが仕込まれていたことが判明。別の開発者が不正に気付いて調べた結果、仮想通貨ウォレットから暗号鍵を盗み出す機能が隠されていたことが分かり、問題のパッケージはnpmから削除された。

　ノースウッド氏は、今回のような問題が起きた原因について、「1人のユーザーがこれほどの混乱を引き起こすことができてしまうエコシステム」に疑問を呈し、「この業界は信頼を基盤としているが、セキュリティとインテグリティに関する限り、信頼だけではなく、信頼と検証が必要だ。だがJavaScriptパッケージのエコシステムは、その検証が簡単にできる構造にはなっていない」と指摘している。

　英メディアThe Registerによると、Event-Streamのメンテナンスを引き継いだ「right9control」というユーザーは、GitHubのプロフィールが事実とすれば、東京を拠点としている。攻撃に使われたのは、サービスプロバイダーがマレーシア・クアラルンプールから運営するサーバだったという。