暗号通貨は金融における信頼の証と言えるでしょう。多くの暗号通貨は分散化されているため、ユーザーは基盤となるネットワークに頼り、すべてが正常であることを確認しています。Security Research Labsは先週、ノードオペレーターがアップデートのインストールを怠っているため、イーサリアムのネットワークが攻撃に対して脆弱である可能性があることを明らかにしました。ネットワークの整合性に対するこの明らかな軽視は、イーサリアムの所有者にとって深刻な問題を引き起こす可能性があります。
しかし、この暗号通貨はグラフィックカードとspiteだけに依存しているわけではありません。そのネットワークは様々なクライアントを実行するノードに依存しており、その中でも特に有名なのはParityとGethです。Security Research Labsは、これらのノードの多くが、それぞれのクライアントソフトウェアの古いバージョンを実行しているため、攻撃に対して脆弱であることを発見しました。これらの脆弱性はもはや問題ではないはずですが、ノード運営者がクライアントを更新しなかったために問題となっています。
セキュリティ・リサーチ・ラボは2月、攻撃者がParityを実行しているノードをクラッシュさせることができる脆弱性を発見しました。これは壊滅的な被害をもたらす可能性があります。なぜなら、誰かがノードの51%を制御できれば、暗号通貨を二重に使用できると同社では述べています。被害者は一文無し、あるいは取引によっては少なくともイーサリアム(Ether)を失う可能性があり、ネットワークが信頼を取り戻すのは著しく困難になるでしょう。
同社によると、Parityノードの30%は、Parityがこの脆弱性を修正するアップデートをリリースから1か月経ってもインストールしていなかった。約7%は18か月間アップデートされておらず、調査対象のGethノードの44%は古いバージョンのクライアントを実行していた。つまり、運用者がアップデートを行っていなかったために、多くのノードが既知の攻撃に対して脆弱な状態のままになっているということだ。こうした重要なアップデートのインストールの失敗により、Security Research Labsは次のように記している。
基本的なパッチ適用の不備は、イーサリアム・エコシステムのセキュリティを損ないます。イーサリアムユーザーにおけるパッチ適用の不備は、より深刻な脆弱性が相当数のイーサリアムユーザーの間で数日、数週間、あるいは数ヶ月もの間残存する可能性があることを示唆しており、ユーザー自身のセキュリティとイーサリアム・エコシステムの完全性を危険にさらす可能性があります。パッチ適用の不備による影響は、一般的なクライアントソフトウェアでリモートコード実行が発見された場合に最も深刻化するでしょう。
責任の一端はクライアントにあります。Parityの自動アップデートは分かりにくいと言われていますが、これは人々が自動アップデートに求めるものとは正反対です。一方、Gethは自動アップデートを全く提供していません。PC、スマートフォン、タブレットのOSをアップデートする手間を惜しむ人は多く、ノードが同じ扱いを受けるのも当然です。しかし、両者の違いは、暗号通貨全体が危険にさらされる可能性があるという点です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
今、本当に事態は深刻でしょうか?そうは思えません。しかし、だからこそSecurity Research Labsの調査結果は重要なのです。同社は、より深刻な問題が発見される前に、イーサリアムのノードオペレーターにネットワークの整合性を守る機会を与えているのです。よく知られている信頼の実験である「トラストフォール」の目的は、誰かが信頼を失い始める前に、それを捕まえる準備をしておくことです。イーサリアムにとって、セキュリティアップデートを迅速にインストールすることが、それを実現する最善の方法です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
