【重要】トラストウォレット「iOS版アプリの脆弱性報告」について説明

by BITTIMES

Trust Walletの脆弱性報道「誤解がある」と説明

Trust Wallet(トラストウォレット)は2024年2月15日に、米国立標準技術研究所(NIST)から発表された「Trust Walletの脆弱性」に関する報告について詳しく説明する記事を公開しました。

トラストウォレットは、複数の暗号資産をまとめて管理することができる自己管理型の仮想通貨ウォレットであり、現在はブラウザ拡張機能・iOS版アプリ・Android版アプリが提供されています。

NISTの報告では「トラストウォレットの旧iOS版アプリには、仮想通貨を盗まれる可能性のある深刻な脆弱性がある」ということが説明されていますが、トラストウォレット側はこれに関する複数の報道で誤解があることも説明しているため、トラストウォレットを利用していない方も内容を理解しておくことが重要です。

米国立標準技術研究所(NIST)の指摘

米国立標準技術研究所(NIST)が2月8日に公開した報告では、以前公開されていた「Binance Trust WalletのiOS版アプリ」に関する脆弱性が指摘されており、トラストウォレットの旧iOS版アプリではTrezor社の暗号ライブラリが誤用されていたため、仮想通貨が盗まれる可能性があったと説明されています。

iOS版のBinance Trust Walletアプリでは、0.0.4でtrezor-cryptoライブラリが誤用されていたため、デバイスの時間が唯一のエントロピーソース(データ生成源)となるニーモニックワードが生成される仕組みとなっており、2023年7月に悪用されたことによって経済的損失が発生しました。

攻撃者は適用可能な時間枠内の各タイムスタンプに対してシステム的にニーモニックを生成し、それらを特定のウォレットアドレスにリンクさせて、そのウォレットから資金を盗むことができます。

NISTの指摘を簡単に要約すると「トラストウォレットの旧iOS版アプリでは、復元フレーズの生成に問題があったため、攻撃者に復元フレーズを生成されて、仮想通貨を盗まれる可能性がある」ということになります。

この報告を受けて、仮想通貨業界では「トラストウォレットの脆弱性」について報告する記事や投稿が多数なされていましたが、トラストウォレットはそのような報告に誤解があるとして、今回の説明記事を公開しています。

トラストウォレットからの説明

脆弱性は修正済み・ユーザー資産は安全

トラストウォレットは記事の冒頭で「NISTが報告した脆弱性は2018年に見られたものであり、この脆弱性は同年にすぐ修正され、影響を受けた数千人のユーザーにも通知を実施、安全なウォレットに移行された」と説明しています。

同社は「トラストウォレット利用者の資産は安全であり、ウォレットも安全に使用できる」と説明しており、「安全性に気を配ってもらえることには感謝しているが、報告には不正確な点が複数含まれているため、それについて詳しく説明したい」と述べています。

米政府主導の公式調査ではない

今回の脆弱性に関する記事の内容については「トラストウォレットは米政府・米サイバー当局・NISTによる調査は受けていない」との説明がなされています。

ニュース記事で強調されている情報は政府主導の公式調査で得られたものではないとのことで、それらの情報は独立した代表者が脆弱性レポートを提出できる、公的にアクセス可能なオープンデータベースへの送信を通じて提供されたものだと説明されています。

脆弱性関連の問題にも対処済み

報告されているiOS版アプリの脆弱性については「この脆弱性は2018年3月に作成されて、2018年7月に修正された、iOS版ウォレットに存在していたものである」と説明されています。

この脆弱性は合計1万件ほどの限られたダウンロードに影響を与えたとのことで、脆弱性発覚後はコードを修正して、影響を受けた全てのユーザーに報告、安全な移行パスを提供して、脆弱なユーザーが残らないようにしたとも説明されています。

今回の脆弱性は復元フレーズに関するものであるため、当時作成されたウォレットを今も使用している場合には影響を受ける可能性があるとも考えられますが、トラストウォレットは「データベース内で特定された脆弱なウォレットアドレスに残高がないことも判明した」と述べています。

2023年7月に発生した事件との関連性

NISTの報告では「トラストウォレットの脆弱性が2023年7月に悪用されて経済的損失が発生した」と説明されていますが、トラストウォレットは「2023年7月の仮想通貨流出事件は、トラストウォレットだけの原因で発生したものではない」と説明しています。

同社チームがこの問題について慎重に調査した結果によると、2023年7月12日に発生した仮想通貨流出は「複数のソース」によって引き起こされた可能性が高いとのことで、「トラストウォレットが根本原因である可能性は極めて低い」と強調されています。

トラストウォレットのデータベースでは、ハッキングされた2,000アドレスの中の600アドレスしか見つかっていないとのことで、「それらのアドレスがトラストウォレットで生成されたものなのか、外部からインポートされたものなのかはわからない」ともコメントされています。

また、2018年の脆弱性に関連するアドレスはその中の1/3のみだったとのことで、「私たちは2018年に見つかったトラストウォレットの脆弱性が、2023年7月のセキュリティ侵害の原因ではないと確信している」と説明されています。

トラストウォレット以外でも注意が必要?

今回NISTが報告した内容では「トラストウォレットの旧iOS版アプリの脆弱性が2023年7月に起きた仮想通貨盗難事件に繋がった」ということが指摘されていますが、トラストウォレットは「この問題の根本原因はトラストウォレットではない」と説明しています。

トラストウォレットのiOS版アプリで見つかった脆弱性は「Trezor社の暗号ライブラリを誤用したこと」に起因するものであり、場合によっては他のウォレットアプリにも影響が出ている可能性があるため、注意が必要であると考えられます。

仮想通貨価格が高騰している時期には「仮想通貨の盗難・ハッキング・詐欺」などが増加する傾向があるため、ウォレットを定期的にアップデートしたり、安全性が不安なウォレットの資産を新しいウォレットに移動させるなどの対応も重要です。

>>資産を守るために読みたい記事

(発表:トラストウォレットNIST

この記事が気に入ったら
いいね!しよう

関連のある仮想通貨ニュース

フィリピン中央銀行「独自デジタル通貨(CBDC)の発行」を検討

フィリピン中央銀行「独自デジタル通貨(CBDC)の発行」を検討

DMMビットコイン「TRX・ADA・DOT・IOSTのレバレッジ取引」提供へ|TRX現物取引も

DMMビットコイン「TRX・ADA・DOT・IOSTのレバレッジ取引」提供へ|TRX現物取引も

前澤友作氏:Web3.0・メタバース領域に投資する「MZ Web3ファンド」立ち上げ

前澤友作氏:Web3.0・メタバース領域に投資する「MZ Web3ファンド」立ち上げ

チャールズ皇太子:ブロックチェーンに「興味深い」と歴史的発言、即記録へ

チャールズ皇太子:ブロックチェーンに「興味深い」と歴史的発言、即記録へ

【速報】コインチェック:仮想通貨積立サービスに「アルトコイン7銘柄」を追加

【速報】コインチェック:仮想通貨積立サービスに「アルトコイン7銘柄」を追加

Bakkt:仮想通貨決済アプリ2020年公開へ「スタバでBTC決済」が現実的に

Bakkt:仮想通貨決済アプリ2020年公開へ「スタバでBTC決済」が現実的に

注目度の高い仮想通貨ニュース

NFTDrive:Symbol・Ethereum・Polygon対応の「カード型ウォレット」販売開始

NFTDrive:Symbol・Ethereum・Polygon対応の「カード型ウォレット」販売開始

NFTDriveEX:SymbolとEVMチェーンを繋ぐ「アトミックスワップ機能」導入へ

NFTDriveEX:SymbolとEVMチェーンを繋ぐ「アトミックスワップ機能」導入へ

シバイヌ(SHIB)は今後「300%以上」上昇する?さらに強気な価格予想も

シバイヌ(SHIB)は今後「300%以上」上昇する?さらに強気な価格予想も

今注目の仮想通貨エアドロップ?!99Bitcoinsが99,999ドルをプレゼント開始!

今注目の仮想通貨エアドロップ?!99Bitcoinsが99,999ドルをプレゼント開始!

ビットコインを通貨として使用する「ブラジル3つの観光都市」Coinext報告

ビットコインを通貨として使用する「ブラジル3つの観光都市」Coinext報告

香港証券先物取引委員会「ビットコイン・イーサリアムの現物ETF」を承認

香港証券先物取引委員会「ビットコイン・イーサリアムの現物ETF」を承認

Dogwifhat(WIF)の上昇はまだまだ続く?アーサー・ヘイズ氏の強気な価格予想

Dogwifhat(WIF)の上昇はまだまだ続く?アーサー・ヘイズ氏の強気な価格予想

シバイヌL2「Shibarium」大規模なUIアップデートを実施|ユーザー体験・スピード向上に向けて

シバイヌL2「Shibarium」大規模なUIアップデートを実施|ユーザー体験・スピード向上に向けて

4月に注目したいソラナ系・イーサリアム系の新しいミームコインとは?

4月に注目したいソラナ系・イーサリアム系の新しいミームコインとは?

ビットコインレイヤー2プロジェクトBEVM、1000万ドル融資を達成!完全分散化、EVM交換性を備えたソリューションの実態に迫る

ビットコインレイヤー2プロジェクトBEVM、1000万ドル融資を達成!完全分散化、EVM交換性を備えたソリューションの実態に迫る

【重要】OKCoinJapan「対BTCの取引ペア」取扱終了へ

【重要】OKCoinJapan「対BTCの取引ペア」取扱終了へ

Arkham「仮想通貨保有国のデータ集約ページ」公開|保有資産・取引履歴などを掲載

Arkham「仮想通貨保有国のデータ集約ページ」公開|保有資産・取引履歴などを掲載

仮想通貨ニュース | 新着記事一覧

仮想通貨まとめ一覧

WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介

WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介

K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介

K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介

Bad Idea AI(BAD)とは?特徴・価格チャート・取扱う暗号資産取引所など

Bad Idea AI(BAD)とは?特徴・価格チャート・取扱う暗号資産取引所など

Astar(ASTR)の「dApp Staking」でステーキングする方法|画像付きでわかりやすく解説

Astar(ASTR)の「dApp Staking」でステーキングする方法|画像付きでわかりやすく解説

確定申告はいつからいつまで?知っておきたい「仮想通貨の税金」に関する知識

確定申告はいつからいつまで?知っておきたい「仮想通貨の税金」に関する知識

ASTRも管理できる「Polkadot{.js}」のウォレット作成方法|画像付きでわかりやすく解説

ASTRも管理できる「Polkadot{.js}」のウォレット作成方法|画像付きでわかりやすく解説

人気のタグから探す