本当に安全か Hyperledger Fablicに潜む「不正な操作」を行える可能性(2/2 ページ)
米Synopsysがセキュリティ診断ツールを使って「Hyperledger Fablic」を解析。残念ながらいくつかの問題が明らかになったという。エンタープライズブロックチェーンを安全に運用するためには「これまでのITセキュリティトピックから学ばなければならない」と同社は指摘する。
過去の経験に学び、コミュニティー全体で対策に向けた議論を
問題は、この仕組みが本当に安全なのかどうなのかということです。SynopsysがTineolaを開発し、オープンソースとして公表した背景には、「エンタープライズブロックチェーンプラットフォーム上に構築されたアプリケーションがどんな問題を抱えているか、安全かどうかを人々が確認できるか」という問題意識があったといいます。
事実、ビーン氏やリーデセル氏らSynopsysのリサーチチームがTineolaを用いてHyperledger Fablicを解析したところ、残念ながらいくつかの問題が明らかになったそうです。
Webアプリケーションを介し、Hyperledger Fablicで構築されたファブリックネットワークの中のコードの一部(チェインコード)を外部から呼び出して状態を変更したり、JSON(JavaScript Object Notation)で記述されたリポジトリに対してインジェクションを行ったり、あるいは、メンバーではないユーザーがデータベースを直接操作し、スマートコントラクト(※)として記述された値の一部を変更したり――。エンタープライズブロックチェーンプラットフォームを形作る「信頼」をかいくぐったり、逆手に取ったりして、悪意あるユーザーによる不正な操作が行えることを、リサーチチームは動画デモを用いながら説明しました。
(※)スマートコントラクト……ブロックチェーンを利用し、事前に定めた条件に基づき、取引や契約を自動化すること
インタビューの中でビーン氏は、「ブロックチェーンという素晴らしい技術が約束する未来を実現するにはソフトウェアの形で実装しなければならないが、その際、安全に開発する術を知らないことが問題の1つだ」と指摘しました。同時に、安定した環境で運用していく必要もあり、開発と運用、両面での取り組みが必要だと述べています。
「エンタープライズブロックチェーンソフトウェアを安全にするために、ディザスタリカバリー(災害復旧)やオペレーション、あるいはアプリケーションセキュリティの分野など、これまでのITセキュリティのトピックからわれわれは学ばなければならない。同時に新しい実行環境なのだから、ITの世界でこれまで存在してきた課題に加え、新しいタイプの脆弱性も発見されることになるだろう」(ビーン氏)
同氏によると、この領域に関して「これが定番」というセキュリティ対策の標準はまだ存在しません。ただ幸いにして今のところ、テクノロジーに潜む脆弱性を突いた大規模な問題も起こっていません(多くの企業ではまだパイロットプロジェクトを進めている段階だから当たり前かもしれませんが)。
だからこそ今のうちに「このプラットフォームがどのようなセキュリティ上の課題を抱えているかを知り、セキュリティ専門家とプラットフォームの提供者、その上でアプリケーションを作る開発者がコミュニティーを形作り、コラボレーションしていくことが必要だ」とビーン氏は述べています。まだ成熟からは程遠いエンタープライズブロックチェーンの領域で、やるべきことは多そうです。
関連記事
- ダークウェブ界の大物、痛恨のミス 見えてきた“正体”
ダークウェブを調査するホワイトハッカーが、世界最大のダークウェブマーケットであるDream Marketの管理人の素性に迫る。 - モナコインへの攻撃、なぜ成功? 小さな「アルトコイン」襲う巨大なハッシュパワー
国産仮想通貨「モナコイン」が攻撃を受けた理由や、そのブロックチェーンの仕組みについて解説する。 - 「どう考えても速いよね」 MUFGとAkamaiの“世界最速”ブロックチェーン誕生秘話
なぜ、MUFGとAkamaiはブロックチェーンに注目し、高速性能を実現できたのか。三菱UFJニコス常務執行役員の鳴川竜介CTO(最高技術責任者)と、アカマイ・テクノロジーズ新村信CTOに、新型ブロックチェーンの誕生秘話を聞いた。 - 「量子コンピュータは仮想通貨の脅威になる」──野口悠紀雄氏
9月27日に開催されたRakuten FinTech Conference 2017の「ブロックチェーンの進化とDigital通貨」で、「量子コンピュータは仮想通貨の脅威になる」と一橋大学の野口悠紀雄名誉教授。その理由は。
Copyright © ITmedia, Inc. All Rights Reserved.