- 2023.08.21
- サイバーセキュリティ
Web3.0の発展とセキュリティリスク
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第3回。今回は、Web3.0の発展とセキュリティリスクについて、ご説明いただきます。
前回の記事は以下よりご確認いただけます。
Web3.0の発展とセキュリティリスク【セキュリティコラム第3回】
Web3.0(もしくはWeb3)とは、ブロックチェーン技術を土台とした、分散型インターネットという概念です。
ブロックチェーンは、暗号資産であるビットコインやイーサリアム等で用いられている技術。匿名性を高めつつ、データの改ざんが事実上不可能というセキュリティ性を担保した仕組みで、この技術を用いて、実社会に応用しようとしているのがWeb3.0であると理解いただければと思います。
Web2.0とWeb3.0の違いとは
みなさんも、Google検索を利用したり、FacebookやInstagramで人と繋がったり、LINEで日々やりとりをしていると思います。Google検索にはGoogle社が、FacebookやInstagramにはMeta社が、LINEにはLINE社という特定企業のプラットフォームの上で、情報のやりとりが行われています。
つまり、私たちの個人情報は特定の企業に吸い上げられていく、という構図の上で利便性を享受しているのです(これをWeb2.0といいます)。
個人情報やプライバシーが益々重要視される現代において、本当にこれでいいのだろうか?情報が特定の企業に吸い上げられることで、プライバシー問題に発展しないのか?特定の企業がルールを変えてしまうと使えなくなるってどうなんだろう(Youtubeのアカウント強制停止等が有名)等と、現在のインターネットの在り方に疑問を呈し、新たに生まれた概念が、Web3.0です。
管理する者が不在でも、データの質が担保される状態(非中央集権型)をブロックチェーン技術を用いることで実現可能にします。
Web3.0の世界に触れたことがないとなかなかイメージがつきにくいのですが、例えば以下のようなサービスです。
NFT・・・改ざんやコピーが簡単にできてしまうデジタルデータに対し、唯一無二のデジタルデータである、ということを証明することができる仕組み。非代替トークンの略。
DAO・・・特定の管理者や所有者が不在の中でも、事業やプロジェクトが進むような組織形態を作ること。分散型自律組織の略。
DeFi・・・特定の金融機関や国などの管理がない状態でも、金銭的な価値を交換しあうことを可能とする、分散型(非中央集権型)金融サービスの略。
Web3.0の世界でのセキュリティ上のリスクとは
ブロックチェーン技術が使われているため、「データの改ざんが事実上不可能」という特性上、セキュリティは高いものと思われがち。確かに改ざんはできないかもしれませんが、それ以外のセキュリティ上のリスクは残ります。
例えば暗号資産の盗難です。Web3.0の世界では、暗号資産が用いられて取引が行われます。現段階ではイーサリアムを用いたやりとりが行われることが多く、例えばNFTを用いたデジタル資産を入手したい場合は
①まずは暗号通貨取引所で現金をイーサリアムに変換し
→bitFlyerやコインチェックなどの暗号資産交換所にて
②それをウォレットと呼ばれる、ソフトウェア上の財布に保存した上で
→MetaMaskなどのクラウド上のウォレットにイーサリアムを保管
③デジタル資産を購入可能なプラットフォームで購入する
→OpenSeaなどのNFTプラットフォームで出店されているデジタル作品を購入
という3つのステップが必要になります。
暗号資産取引所の利用経験がなく、かつセキュリティリテラシーが低い場合、すでに①の時点で被害に遭う可能性があります。
例えば、フィッシングによるメール詐欺。これは、昔から存在する古典的なサイバー攻撃です。フィッシング対策協議会が、すでに暗号資産取引所であるbitFlyerのフィッシングメールが出ていることに対する注意喚起※を発表しています。
※フィッシング対策協議会:bitFlyer をかたるフィッシング (2021/04/01)
メールに記載されているURLをクリックすると、正規のサイトと同様のサイトが表示され、一目では本物と偽物の区別がつきません。IDやパスワード、暗証番号や確認コード等を全て窃取されてしまい、現金や暗号資産を盗み取ります。
これは、②でも同様のことが起こる可能性があり、注意が必要です。
実際に、MetaMaskを騙るフィッシングメールも出回っており、MetaMaskへのアクセスに必要な情報(ID、パスワード、秘密鍵、リカバリーフレーズ)が窃取される可能性があります。
特に狙われる情報とは
Web3.0の世界で、攻撃者が特に狙うのは「秘密鍵」と「リカバリーフレーズ」です。
「秘密鍵」とは、保有している本人の資産にアクセス可能な唯一の方法で、これを奪われると、自身の資産に簡単にアクセスできることと同様になります。
「リカバリーフレーズ」は、パスワードを忘れてしまった時の復旧手段で、正式名称「シークレットリカバリーフレーズ」といいます。秘密鍵にアクセスするためには、パスワードのみならず、リカバリーフレーズがあればよい、ということです。
最後に
Web3.0の世界では、特定の管理者が不在です。
つまり、全ての資産管理は個人の責任に委ねられます。自由を手にすることができる可能性を秘めている一方で、スキルを身につけないと、あっという間にサイバー攻撃者の餌食になる可能性があるのも事実。
今後、法制度等の変更により、一定の安全性は保たれる可能性はありますが、自分の身は自分で守る、という前提で、セキュリティ知識はしっかりと身につけなくては世の中渡っていけない時代に突入したともいえるでしょう。
今後の掲載予定トピック
本コラム連載の今後の掲載予定トピックは以下のとおりです。ぜひご期待ください。
【第1回】どうなる?2023年以降のサイバー攻撃情勢予測
【第2回】DXの発展とセキュリティリスク
【第3回】Web3.0の発展とセキュリティリスク(今回)
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵入経路
【第6回】具体的な攻撃シナリオ
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア)
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
