ビットコイン狙う不正コードがNode.jsライブラリに BitPayのウォレットアプリに影響
BitPayのビットコインウォレットアプリに使われているNode.jsパッケージに、不正なコードが仕込まれていたことが判明。この業界のエコシステムが抱える問題を指摘する声も出ている。
ビットコインウォレットアプリを提供する米BitPayは11月26日、同社のアプリに使われているサードパーティーのNode.jsパッケージが改ざんされて不正なコードが仕込まれ、ユーザーの秘密鍵が流出した可能性があることが分かったと発表した。
同社のアプリ「Copay」のバージョン5.0.2〜5.1.0を使っている場合、アプリを実行したり開いたりしないよう呼び掛けている。
BitPayによると、不正なコードは「Copay」「BitPay」のバージョン5.0.2〜5.1.0で確認された。ただ、BitPayはこのコードの影響を受けないとしている。Copayについては、ユーザに対して悪用されていないかどうかを調べているという。
同社はこの問題に対処するため、CopayとBitPayの更新版となるバージョン5.2.0をリリースした。影響を受けるバージョンのユーザーは、秘密鍵が破られた可能性を想定して、資金を直ちに新しいバージョン(v5.2.0)のウォレットに移すよう促している。
報道によると、不正なコードが仕込まれていたのは「Event-Stream」というNode.jsライブラリで、npmリポジトリから1週間に200万以上もダウンロードされている人気ライブラリだった。
この問題について報告したソフトウェアエンジニアのクリス・ノースウッド氏によると、Event-Streamのメンテナンスを作者から引き継いだユーザーがコードに手を加え、2018年9月から10月にかけて、悪質なコードが仕込まれていたことが判明。別の開発者が不正に気付いて調べた結果、仮想通貨ウォレットから暗号鍵を盗み出す機能が隠されていたことが分かり、問題のパッケージはnpmから削除された。
ノースウッド氏は、今回のような問題が起きた原因について、「1人のユーザーがこれほどの混乱を引き起こすことができてしまうエコシステム」に疑問を呈し、「この業界は信頼を基盤としているが、セキュリティとインテグリティに関する限り、信頼だけではなく、信頼と検証が必要だ。だがJavaScriptパッケージのエコシステムは、その検証が簡単にできる構造にはなっていない」と指摘している。
英メディアThe Registerによると、Event-Streamのメンテナンスを引き継いだ「right9control」というユーザーは、GitHubのプロフィールが事実とすれば、東京を拠点としている。攻撃に使われたのは、サービスプロバイダーがマレーシア・クアラルンプールから運営するサーバだったという。
関連記事
- 「ビットコインをよこせ」 人型ロボットがランサムウェアに感染すると……?
セキュリティ企業のIOActiveが、人型ロボットへのランサムウェア攻撃の実証デモを公開。ランサムウェアを仕込まれたロボット「NAO」は、突然それまでとは違う声で、「オレはビットコインが大好きだ。ビットコインをよこせ」としゃべりだす。 - 暗号解除と引き換えに100ビットコイン要求、Petya亜種の攻撃に関連か
「私に100ビットコインを送金すれば、どんなHDD(起動ディスクを除く)も復号できる秘密鍵を提供する」と持ち掛ける内容が投稿された。 - Zaif、不正アクセスでビットコインなど約67億円相当流出
Zaifから約67億円相当の仮想通貨が流出。ホットウォレットがハッキングを受けたという。 - ブロックチェーンは決して“万能”ではない──ビジネス活用に必要な理解とその本質
日本では、ビットコインによって有名になった「ブロックチェーン」。仮想通貨投機の熱が収まってきた今、ビジネスでの実装が注目されつつある。とはいえ、海外に比べればその動きが鈍いのは事実。その理由はどこにあるのだろうか?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.