CISO が立ち向かわなければならない 10 の NFT と暗号通貨のセキュリティ脅威
CISO が立ち向かわなければならない 10 の NFT と暗号通貨のセキュリティ脅威
分散型テクノロジーは、CISO の不安のレベルを高める可能性がありますが、セキュリティ リスクを回避する方法はあります。
暗号通貨の支払いを受け入れる企業のリストは常に増え続けており、そのおかげで、顧客は電子機器、卒業証書、カプチーノなど、ほぼ何でも好きなものを購入できます。
同時に、スヌープ・ドッグ、マーサ・スチュワート、グライムスなどのより確立された名前がトレンドを利用して、新興アーティストが億万長者になるにつれて、非取引トークン ( NFT ) 市場が急成長しています。
暗号通貨と NFT は、Web3 の影響とそれがもたらす機会について議論する多くの組織の議題です。
インターネットの進化におけるこの新しい大きな変化は、デジタル世界の分散化を約束し、ユーザーにより優れた制御とより透過的な情報の流れを提供します。
また、チェックしてください:
さまざまな業界の企業が、新しいパラダイムに適応するために最善を尽くしています。
ただし、CISO の懸念事項のリストは長く、サイバーセキュリティや ID 詐欺から、市場セキュリティ、キー管理、データおよびプライバシーの脅威にまで及びます。
NFTを含むあらゆる形態の暗号通貨には、ほとんどの企業が慣れていない可能性のある多くのリスクとセキュリティの問題があります.
Digital Asset Research の CEO である Doug Schwenk は、次のように述べています。
これらの問題に対する CISO の考え方は、ユーザーやビジネス パートナーに影響を与える可能性があります。
Confiant のチーフ セキュリティ エンジニアである Ilya Stein は、次のように述べています。
以下は、仮想通貨と NFT が CISO にもたらすセキュリティ上の脅威トップ 10 です。
1.ブロックチェーンプロトコルの統合は複雑になる可能性があります
ブロックチェーンは比較的新しい技術です。そのため、ブロックチェーン プロトコルをプロジェクトに統合するのは少し難しくなります。
デロイトは報告書で、「ブロックチェーンの主な課題は、特に銀行以外の分野での技術の認識の欠如と、その仕組みに対する理解が広範に欠如していることです」と述べています。
「これにより、アイデアへの投資と探求が難しくなります。」
企業は、サポートされている各チェーンの成熟度と適切性を慎重に評価する必要があります。
「初期段階の [ブロックチェーン] プロトコルの採用は、ダウンタイムとセキュリティ リスクにつながる可能性がありますが、後期段階のプロトコルは現在、より高い取引手数料を持っています」と Schwenk 氏は言います。
「希望する用途 (支払いなど) のためにプロトコルが選択されると、スポンサーはサポートを提供できなくなる可能性があります。これは、価値を完全に実現するために特定のサービス プロバイダーが必要になるオープン ソースの採用に似ています。」
2. 資産所有基準の変更
誰かが NFT を購入するとき、実際には画像を購入しているわけではありません。そのサイズのためにブロックチェーンに画像を保存することは実際的ではないからです。
代わりに、ユーザーは画像への道順を示す一種のレシートを受け取ります。
ブロックチェーンには、ハッシュまたは URL のイメージ ID のみが保存されます。HTTP がよく使用されますが、分散化された代替手段は Interplanetary File System (IPFS) です。
IPFS を選択する組織は、IPFS ノードが NFT を販売する会社によって管理されることを認識する必要があります。その会社がストアを閉鎖することを決定した場合、ユーザーは NFT が指すイメージにアクセスできなくなる可能性があります。
「ファイルを IPFS に再アップロードすることは技術的に可能ですが、プロセスが複雑であるため、平均的なユーザーがそうできる可能性は低いです」と、独立系セキュリティ研究者の Anatole Brisacaro 氏は述べています。
「しかし、良い点は、その分散型で脆弱な性質により、プロジェクト開発者だけでなく、誰でもこれを実行できることです。」
3. 市場のセキュリティリスク
NFT はブロックチェーン技術に基づいていますが、それらに関連付けられた画像や動画は、集中型または分散型のプラットフォームに保存できます。
多くの場合、便宜上、集中型モデルが選択されます。これは、ユーザーがデジタル資産を簡単に操作できるようにするためです。このアプローチの欠点は、NFT 市場が Web2 の脆弱性を継承する可能性があることです。
また、従来の銀行取引は元に戻すことができますが、ブロックチェーン上の取引は元に戻せません。
「ハッキングされたサーバーは、誤解を招く情報をユーザーに提供し、ユーザーを騙してトランザクションを行わせ、ウォレットを使い果たす可能性があります」と Brisacaro 氏は言います。
ただし、システムの適切な実装に適切な時間と労力を費やすことで、特に分散型プラットフォームの使用に関しては、攻撃を防ぐことができます。
「しかし、一部の市場は手抜きをし、セキュリティと分散化を犠牲にしてより大きな管理を行っています」とブリサカロ氏は言います。
4.なりすまし詐欺と仮想通貨詐欺
暗号通貨詐欺は一般的であり、多くの人が被害に遭う可能性があります。「詐欺師は、今後の NFT のローンチを定期的にフォローアップしており、通常、正式なローンチに合わせて宣伝する準備ができている数十の詐欺ミント サイトを持っています」と Stein 氏は言います。
これらの詐欺の犠牲になる顧客は、多くの場合、最も忠実な顧客の一部であり、そのような悪い経験は、特定のブランドの認識に影響を与える可能性があります.
したがって、それらを保護することは非常に重要です。
多くの場合、ユーザーは、自分のアカウントの 1 つで疑わしい動作が検出されたという悪意のある電子メールを受け取ります。この問題を解決するには、アカウントを確認するための資格情報を提供する必要があります。
ユーザーがそれに引っかかると、資格情報が危険にさらされます。「NFT 分野に参入しようとしているブランドは、この種のフィッシング攻撃の監視と緩和にリソースを割くことで利益を得ることができます」と Stein 氏は言います。
5.ブロックチェーンブリッジは脅威の増大
異なるブロックチェーンには異なる通貨があり、異なるルールが適用されます。たとえば、誰かがビットコインを所有しているが、イーサリアムを使いたい場合、資産の転送を可能にする 2 つのブロックチェーン間のリンクが必要です。
クロスチェーン ブリッジと呼ばれることもあるブロックチェーン ブリッジは、まさにそれを行います。「その性質上、スマート コントラクトを使用して厳密に実装されているわけではなく、ユーザーが元のチェーンに資産を入金したときに、2 番目のチェーンでトランザクションを開始するオフチェーン コンポーネントに依存しています」と Brisacaro 氏は言います。
最大の暗号通貨ハッキングには、Ronin、Poly Network、Wormhole などのマルチチェーン ブリッジが含まれます。
たとえば、2022 年 3 月下旬に発生した Ronin Games のブロックチェーン ハッキングでは、攻撃者は 6 億 2,500 万ドル相当の Ethereum と USDC を押収しました。
また、2021 年 8 月の Poly Network への攻撃中に、ハッカーは 6 億ドル以上のトークンを複数の暗号通貨ウォレットに送金しました。
幸いなことに、この場合、お金は 2 週間後に返金されました。
6. コードは徹底的にテストして修正する必要があります
優れたコードを持つことは、プロジェクトの最初から優先事項です。開発者はスキルがあり、細部にまで気を配ることができる必要がある、と Brisacaro 氏は主張します。
そうしないと、セキュリティ インシデントの被害者になるリスクが高まります。たとえば、Poly Network に対する攻撃では、攻撃者はノード呼び出し間のギャップを悪用しました。
事故を防ぐために、チームは包括的なテストを実施する必要があります。組織はまた、第三者にセキュリティ監査を実施してもらう必要がありますが、これには費用と時間がかかる可能性があります。
監査は、最も一般的な脆弱性の特定に役立つ体系的なコード レビューを提供します。
もちろん、コードの検証は必要ですが、それだけでは不十分であり、会社が監査を行ったからといって、問題がないことを保証するものではありません。「ブロックチェーンでは、スマート コントラクトは非常に複雑になる傾向があり、他のプロトコルと相互作用することがよくあります」と Brisacaro 氏は言います。
「しかし、組織だけが独自のコードを管理しており、外部プロトコルとのやり取りはリスクを高めます。」
個人も企業も、リスク管理の別の道を探ることができます。それは、企業がスマート コントラクトやカストディ ハッキングのコストを削減するのに役立つ保険です。
7. 管理キー
「仮想通貨の核心は、単に秘密鍵を管理することです。多くの企業にとって、それは簡単なことのように思えます。CIO は問題とベスト プラクティスに精通しているはずです」と Schwenk 氏は言います。
いくつかの鍵管理ソリューションが利用可能です。
それらの 1 つは、Trezor、Ledger、Lattice1 などのハードウェア ウォレットです。これらは、セキュリティで保護されたコンポーネントに暗号化マテリアルを作成して保存する USB デバイスであり、攻撃者がウイルス/バックドアなどを介してコンピューターにアクセスできる場合でも、秘密鍵にアクセスすることを防ぎます。
もう 1 つの防御策は、ハードウェア ウォレットで使用できる複数のフォーメーションです。「マルチシグは、複数の所有者によるトランザクションの確認を必要とするスマート コントラクト ウォレットです」とブリサカロ氏は言います。
「たとえば、所有者が 5 人いて、トランザクションを送信する前に少なくとも 3 人が署名する必要があるとします。その場合、攻撃者はウォレットを侵害するために複数の人物を侵害する必要があります。」
8. ユーザーとユーザー教育
さまざまなブロックチェーンでトランザクションを実行するには新しいツールが必要であるため、Web3 テクノロジを統合したい組織はスタッフをトレーニングする必要があります。
Cofense の共同設立者で最高技術責任者の Aaron Higbee は次のように述べています。
すべての企業が電子メールベースのフィッシング攻撃について心配する必要がありますが、デジタル資産を扱う従業員は標的にされる可能性が高くなります。
トレーニングの目的は、チームの全員が最新のプラクティスを使用し、セキュリティの原則を十分に理解していることを確認することです。Check Point の製品脆弱性調査責任者である Oded Vanunu 氏は、仮想通貨に関する大きな知識のギャップに気付いたと言います。
「Web3 テクノロジーを統合したいと考えている組織は、これらのプロジェクトにはセキュリティの詳細な概要とセキュリティの理解が必要であることを理解する必要があります。つまり、発生する可能性のある数値と影響を理解する必要があります」と彼は言います。
秘密鍵を管理したくない一部の組織は、集中型システムの使用を選択するため、Web2 セキュリティの問題に対して脆弱になります。
「私は、Web3 を Web2 テクノロジーと統合して、詳細なセキュリティ分析とセキュリティのベスト プラクティスを実装するプロジェクトにすることを求めています」と Vanunu 氏は言います。
9. NFT および Web3 分散型アプリケーションの継続使用
多くの企業は、もはやニーズに応えられなくなった製品を放棄しますが、ブロックチェーンベースの資産が正しく実装されていれば、通常はそうではありません。
「NFT を 1 回限りのマーケティング活動と見なすべきではありません」と Stein 氏は言います。
「NFT自体がオンチェーンでない場合、それを常に維持する責任は会社にあります。プロジェクトが非常に成功した場合、会社は、事故や詐欺が発生した場合にこれらのNFTのコレクターをサポートするという重大な仕事を引き受けます。など、それまで。
そのようなバイラル プロジェクトの 1 つは、戦争のタイムラインに基づいて NFT を販売したウクライナ政府によって開始されたプロジェクトです。
戦争の記憶が残る場所。ウクライナのアイデンティティと自由を祝う場所です」と、ウクライナの副首相兼デジタルトランスフォーメーション大臣であるミハイロ・フョードロフのツイートを読みます。
NFT 愛好家は、歴史の一部を購入してウクライナを支援したいと言って、前向きな反応を示しています。しかし、彼らはプロジェクトが継続することを期待しています。
10. ブロックチェーンが常に正しいツールであるとは限らない
新しいテクノロジーは常に刺激的ですが、組織はそれらを導入する前に、すでに問題を解決しているかどうか、そして今がそれらを採用する適切な時期であるかどうかを自問する必要があります。ブロックチェーンベースのプロジェクトは、企業をより良い方向に変える可能性を秘めていますが、少なくとも初期段階ではリソースを大量に消費する可能性もあります.
リスクと利益の比率を評価することは、決定の重要な部分であり、実装段階と実装中の両方で、セキュリティ関連の活動に十分な資金を提供することが重要です。
これらの新しい脅威のリスクと利益の比率を評価することは、(まだ) コア コンピテンシーではない可能性があり、暗号通貨に関連することが多い誇大宣伝に巻き込まれるのは簡単です」と Schwenk 氏は結論付けています。
出典:CSO