仮想通貨ウォレットの安全性を調査|CERが「セキュリティ評価レポート」を公開

by BITTIMES   

仮想通貨ウォレットのセキュリティ評価レポートを公開

サイバーセキュリティ認証プラットフォームの「CER」は2023年7月17日に、合計45の仮想通貨ウォレットを調査分析した結果をまとめた「仮想通貨ウォレットのセキュリティ評価レポート」を公開しました。

今回のレポートでは仮想通貨ウォレットの重要性やその現状などについて情報がまとめられており、セキュリティ評価で高いスコアを獲得したウォレットについての紹介もなされています。

この記事では、今回公開されたセキュリティ評価レポートの要点を簡単にまとめています。

仮想通貨ウォレットの重要性

仮想通貨ウォレットはWeb3関連サービスにアクセスする際に広く利用されるツールであり、最近では各種暗号資産に加えて分散型IDなどの管理でも利用されるようになってきているため、その重要性は増してきている。

今後も仮想通貨ウォレットの重要性がさらに高まっていくと予想されることから、各種仮想通貨ウォレットのセキュリティ評価を行なった上でレポートを公開することにした。

今回の調査では12のプラットフォームにわたる合計45のウォレットに関する詳細な分析が行われている。この調査では「管理方法・復元方法・セキュリティ監査履歴・バグ報奨金・侵入テスト・インシデント記録」などを含む様々なデータの分析が行われている。

分類別のウォレット評価

仮想通貨ウォレットは大きく分けると「デスクトップウォレット・モバイルウォレット・拡張機能ウォレット」の3種類に分類される。

デスクトップウォレットは基本的に様々な機能と堅牢なセキュリティを備えているが、デスクトップPCで利用する必要があるため、アクセス面に関してはある程度の制限がある。

モバイルウォレットは基本的に携帯性に優れていて使いやすさを重視した設計になっているが、モバイル端末を利用することに伴うセキュリティ上の課題が存在する。具体的には「デバイス盗難・ハッキング・モバイルOSの脆弱性」などのリスクで資産が盗まれる可能性がある。

拡張機能ウォレットはデスクトップとモバイルのバランスを保つウォレットで、ブラウザから直接DAppsを操作できる利便性と実用性を備えている。しかし、そのセキュリティはブラウザ全体のセキュリティと密接に関連している。

これら3つのグループにおける各ウォレットのスコアを100点満点で評価した際の平均点は以下の通り。

種類スコア
デスクトップウォレット48
モバイルウォレット51
拡張機能ウォレット58

監査や侵入テストの不十分さ

仮想通貨ウォレットの調査を行なった結果「多くのウォレットは監査や侵入テストを行なっていない」ということが発覚した。ただし、これはアプリの更新量にも関連するものであり、新しく更新されるたびに以前行われた侵入テストが失格になる可能性がある。

調査で判明したのは「何らかの監査を実施しているウォレットは45ブランド中の14ブランドのみ」「侵入テストを実施しているウォレットは45ブランド中の6ブランドのみ」ということだ。

徹底した監査が実施されていればハッキングのリスクを大幅に低減できるため、ウォレットを選ぶ際には「侵入テストや監査を受けているか」を確認することが重要。なお、最も入念な監査を行なっていたのは「メタマスク」である。

「Atomic Wallet」との比較

2023年6月、100万ダウンロードと500万ユーザーを誇る仮想通貨ウォレット「Atomic Wallet」で大規模なハッキング被害が発生した。これにより、推定3,500万ドル〜1億ドル相当の暗号資産が失われた。

Atomic Walletのスコアはハッキング前は41だったが、事件後のスコアは31まで低下した。ダウンロード数が「Atomic Wallet」と同程度であるにも関わらず、セキュリティスコアが高かったウォレットは以下の5つ。

ウォレットスコア
Exodus69
imToken67
TokenPocket62
Coinomi47
Mycelium45

ユーザー数が多いほどセキュリティ対策を講じている傾向

調査の結果「インストール数」と「企業が講じるセキュリティ対策の量」には高い相関関係があることが判明した。1,000万人以上のユーザーを有する全てのウォレットはより多くのセキュリティ対策を講じているため、評価がトップになっている。

人気のウォレットはユーザー基盤を保護するために堅牢なセキュリティ対策を行う傾向がある。逆に「安全性の高いウォレットが新規ユーザーを惹きつけている」という可能性もある。

ただし「Atomic Wallet」はこの法則に反するもので、人気があるにも関わらずにセキュリティスコアが低かったため、注意が必要である。

「オープンソース」と「クローズドソース」

ウォレットには「オープンソース」のものと「クローズドソース」のものがあるが、オープンソースのウォレットはハッキングされるリスクがかなり高くなる。

CERの調査では「Edge・MyEtherWallet・Electrum・Ledger Live・Trezor」という5つのオープンソースウォレットでセキュリティ上の問題点が見つかった。

部分的にオープンソースのウォレットはハッキングされていないが「オープンソースウォレットの平均インシデント率は13.87%で、クローズドソースウォレットの平均インシデント率は18.48%」という興味深い結果も出た。

ユーザーは「オープンソースかクローズドソースか」よりも「堅牢なセキュリティ対策・定期的なアップデート・効率的な脆弱性管理を一貫して実証しているウォレット」を優先する必要がある。

バグ報奨金制度はセキュリティ強化に役立つ

オープンソースウォレットは「バグ報奨金プログラム」を導入することによってセキュリティを大幅に強化することができることが証明されている。

バグ報奨金プログラムでは、外部の研究者やホワイトハッカーが脆弱性の調査を行うため、バグが見つかる可能性が高くなり、ウォレットの安全性強化に役立つ。

調査対象のウォレットでは、45個のウォレットの中の23個がバグ報奨金プログラムを導入していた。

ハードウェアウォレットは安全性を高める

ハードウェアウォレットを活用すれば、ウォレットが攻撃された場合に資産を失う可能性を下げることができる。一部のソフトウェアウォレットはハードウェアウォレットとの連携に対応している。

ハードウェアウォレットとの互換性があるウォレットは、互換性がないウォレットと比較して、インシデントが少ない傾向にある。

ハードウェアウォレットはセキュリティ問題に対する特効薬となる訳ではないのものの、資産盗難の被害を抑えて安全性を高めるために有効であることが示されている。

TREZORの画像 TREZORの日本正規販売店はこちら

取引に関する情報提供が不足

調査の結果「全ウォレットの約3分の1がトランザクションに関する十分な情報を提供していない」ということが判明した。ウォレット側が提示すべき情報としては以下のようなものが挙げられる。

  • 受信アドレス
  • 取引手数料
  • 取引金額
  • 取引の内容を説明するメッセージ
  • どのようなアクセス許可をどのアドレスに付与するか
  • 取引によって影響を受ける資金額
  • 考えられる影響

仮想通貨業界ではフィッシングや詐欺が増加しているため、ウォレット提供側はトランザクションに関する説明をしっかりと行うことが重要で、必要に応じて警告を発する必要がある。

バックアップを求めるアプリが少ない

ウォレットのバックアップ作成を求めるモバイルアプリは44.76%であるということが判明した。これはウォレット側が「ユーザーの利便性」を重視しているためである可能性がある。

バックアップを求めるとユーザーに「不便である」との印象を与えるかもしれないが、セキュリティの観点から考えると「シードフレーズ」や「秘密鍵」を自己管理してもらうことが最優先事項となる。

ユーザーには「新規ウォレット作成時にバックアップを作成すること」を強く推奨する。開発者には「ユーザーアカウントのセキュリティを強化するために設計戦略を再検討すること」を推奨する。

結論と推奨事項

調査の結果、ウォレットの種類やプラットフォームに関係なく「適切で関連性のある監査と侵入テストが欠如している」という共通の欠点があることがわかった。開発者は定期的かつ徹底的なセキュリティ評価・監査・侵入テストを開発ロードマップに組み込む必要がある。

「オープンソースソフトウェア」と「サードパーティがホストするバグ報奨金」の組み合わせによって、回復力のあるセキュリティを確保することができる。オープンソースモデルを支持する場合は「バグ報奨金プログラムの実装」に加えて「サードパーティがホストするオプションの選択」を推奨する。

ユーザーは仮想通貨ウォレットを選ぶ際にセキュリティを考慮することが重要。最初に「ウォレットの評判」と「過去の歴史」を評価して、ハッキングなどの報告があった場合には注意する必要がある。

次に「アプリ全体の監査・侵入テスト・バグ報奨金」を確認することによって、"開発者がセキュリティにどれだけ注意を払っているか"がわかる。人気のウォレットはセキュリティ評価が高い傾向にあるが、人気がないウォレットの場合は別のウォレットを選ぶ方が良いと考えられる。

>>ウォレット関連の最新記事はこちら

CER報告

この記事が気に入ったら
いいね!しよう

関連のある仮想通貨ニュース

イーサリアム下落は「買いの機会」著名アナリスト、大型アップデートを前に強気姿勢

イーサリアム下落は「買いの機会」著名アナリスト、大型アップデートを前に強気姿勢

ZepetoのWeb3版メタバース「ZTX」1,300万ドルの資金調達|トークン・NFTの発行も予定

ZepetoのWeb3版メタバース「ZTX」1,300万ドルの資金調達|トークン・NFTの発行も予定

あのブロックチェーンゲームが「手塚プロダクション」とコラボ|人気キャラが多数登場

あのブロックチェーンゲームが「手塚プロダクション」とコラボ|人気キャラが多数登場

Cardano(ADA)の投票アプリ「Catalyst Voting」Google Playストアに登場

Cardano(ADA)の投票アプリ「Catalyst Voting」Google Playストアに登場

【Chiliz&Socios】トルコのサッカークラブ「イスタンブールBBSK」のファントークン発行へ

【Chiliz&Socios】トルコのサッカークラブ「イスタンブールBBSK」のファントークン発行へ

Nike:Polygon活用のWeb3プラットフォーム「.SWOOSH」公開

Nike:Polygon活用のWeb3プラットフォーム「.SWOOSH」公開

注目度の高い仮想通貨ニュース

仮想通貨の投資家たちが集まるVRプロジェクト5thScape、プレセールで順調に資金を調達

仮想通貨の投資家たちが集まるVRプロジェクト5thScape、プレセールで順調に資金を調達

ワールドコイン(WLD)新SMPCシステムへの移行で「古い虹彩コード」を削除

ワールドコイン(WLD)新SMPCシステムへの移行で「古い虹彩コード」を削除

Pepeの高騰でミームコインの復活が期待、マルチチェーンのDOGEVERSEはプレセール最終段階へ

Pepeの高騰でミームコインの復活が期待、マルチチェーンのDOGEVERSEはプレセール最終段階へ

「ビットコイン価格は簡単に100万ドルを超える」著名アナリストのウィリー・ウー氏が予想

「ビットコイン価格は簡単に100万ドルを超える」著名アナリストのウィリー・ウー氏が予想

東京都「デジタル証券の発行支援で補助金」対象事業者の募集開始

東京都「デジタル証券の発行支援で補助金」対象事業者の募集開始

OKCoinJapan:ソラナ(SOL)のステーキングサービス提供へ「年率88.88%のFlash Deal」も開催

OKCoinJapan:ソラナ(SOL)のステーキングサービス提供へ「年率88.88%のFlash Deal」も開催

「トランプ前大統領の再選は仮想通貨にとってプラス」スタンダードチャータード銀行

「トランプ前大統領の再選は仮想通貨にとってプラス」スタンダードチャータード銀行

SBI VCトレード:口座保有者限定で「HashHub Research」無料提供へ

SBI VCトレード:口座保有者限定で「HashHub Research」無料提供へ

スポンジ・ボブをテーマにしたSPONGE、ステーキング報酬の分配方法に関するアンケート調査を開始

スポンジ・ボブをテーマにしたSPONGE、ステーキング報酬の分配方法に関するアンケート調査を開始

クラウドマイニングとは?MAR Miningで1日1,000ドルを稼ぐ方法

クラウドマイニングとは?MAR Miningで1日1,000ドルを稼ぐ方法

フレアネットワーク:合計バーン枚数が「10億FLR」の大台に到達

フレアネットワーク:合計バーン枚数が「10億FLR」の大台に到達

オアシス(OAS)価格急騰|韓国の大手仮想通貨取引所「Upbit」に上場

オアシス(OAS)価格急騰|韓国の大手仮想通貨取引所「Upbit」に上場

仮想通貨ニュース | 新着記事一覧

仮想通貨まとめ一覧

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

DEX(分散型取引所)とは?特徴・使い方・注意点などをわかりやすく解説

DEX(分散型取引所)とは?特徴・使い方・注意点などをわかりやすく解説

Flare基盤のDeFi・DEX「BlazeSwap」とは?機能・使い方などを解説

Flare基盤のDeFi・DEX「BlazeSwap」とは?機能・使い方などを解説

ビットコイン「第4回目の半減期」完了|価格への影響や仕組みをわかりやすく解説

ビットコイン「第4回目の半減期」完了|価格への影響や仕組みをわかりやすく解説

WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介

WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介

K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介

K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介

人気のタグから探す