アイオータのハッキング事件とその後の対応

2020年2月、暗号資産アイオータ(IOTA)の公式ウォレットであるトリニティ(Trinity)がハッキングを受けました。アイオータの管理運営を行っているアイオータ財団もハッキングの事実を認め、脆弱性の解消に努めています。今回はアイオータのハッキングやハッキング後の対応についてまとめます。

コンテンツ

アイオータとは

アイオータとは、新しい分散型エコシステムを形成するための暗号資産です。オープンソースであるため誰でも利用可能、かつブロックチェーンではなくタングル(Tangle)という技術を使っています。

アイオータ財団の発表によると、ハッキングを受けたのは2020年2月12日です。ムーンペイ(Moonpay)というサードパーティを介して攻撃され、約8.55Tiが盗難されています。日本円に換算すると、約2億2,500万円相当です。

タングルとはダグ(DAG)という技術を使用しています。ダグとはdirected acyclic graphs(有向非巡回グラフ)の略称で、一定方向に進むことだけを決められたデータの集合体です。

ダグの特徴は、同時に複数のデータと繋がることが出来ることです。基本的にブロックチェーンでは、ひとつのブロックはひとつのブロックとしか繋がりません。自然に分岐することもありますが、これはその内消滅します。

例外はハードフォークです。ハードフォークとはブロックチェーンの意図的な分岐のことで、ブロックチェーンのアップグレードや暗号資産の分岐の時に発生します。

これに対してダグでは、始めから複数の繋がりを持つことを前提にしています。このためブロックチェーンで構成されている暗号資産と比較して、トランザクションの処理が速いという特徴があります。

2020年2月にハッキングされたのは、アイオータの公式ウォレットとサービス提供を行っていたトリニティというウォレットです。

トリニティでは、トランザクション処理が速いだけではなく管理が簡単かつ相場の管理が出来ることを長所に挙げています。またシード(seed)という独自の秘密鍵生成方法を使っており、セキュリティにも強いと言われていました。しかし今回のハッキングでは、このシードが悪用されています。

シードとは、他の暗号資産でいうところの秘密鍵に該当します。シードがなければトリニティにログインできません。この仕組みによりアイオータはセキュリティを高めています。

しかし逆に言うと、シードが他者に漏れてしまうと資金流出に直結します。シードはジェネレーターという仕組みによって生み出されます。今回狙われたのは、このジェネレーターでした。

ハッキングへの対抗策としてアイオータが採用した手段は、コーディネーターと呼ばれるセキュリティメカニズムの停止でした。

アイオータにおけるコーディネーターは、トランザクションの確認を担当しています。そのため本来ならば停止させるものではありません。しかし攻撃者に資産が流れることを防ぐためには不可欠な手順でした。

続いて今回のハッキングのきっかけとなったムーンペイへと通知も行っています。ムーンペイはトリニティの統合されていますが、統合の時に技術的な問題が発生しています。この問題点が脆弱性となっていました。

ハッキングの事実を公表した上でアイオータ財団は、ホルダーに対しシード移行を進めています。2019年12月17日から2020年2月17日の間にトリニティのデスクトップウォレットを開いたことのある全てのユーザーは、2月29日から3月7日までの7日間の間にシードを移行するように勧めています。

なおハッキング対策として停止させていたコーディネーターですが、移行期間終了に合わせて稼働を再開したと発表されています。

3月10日に更新されたIOTA財団のブログによるとIOTA財団は、攻撃者特定のために英国、ドイツ、マルタの警察およびFBIと引き続き協力することも公表しました。

コーディネーターの再稼働により不審なアクティビティが確認される可能性も捨てきれません。これらの監視も積極的に行うと宣言しています。

まず重要なことは、今回ハッキングの被害を受けたのは公式ウォレットだけだということです。アイオータ自体が攻撃されたというわけではありません。ハッキングへの迅速かつ適切な対応も評価対象と言えるでしょう。

ですが公式ウォレット統合計画の中で不備が生まれたということは、大きなマイナスになります。アイオータの脆弱性は以前から懸念されており、度々修正が行われました。セキュリティ面で一抹の不安を残している暗号資産として今回のハッキング事件は、記憶に留めておいた方が良いかもしれません。