【重要】トラストウォレット「iOS版アプリの脆弱性報告」について説明

Trust Walletの脆弱性報道「誤解がある」と説明

Trust Wallet（トラストウォレット）は2024年2月15日に、米国立標準技術研究所（NIST）から発表された「Trust Walletの脆弱性」に関する報告について詳しく説明する記事を公開しました。

トラストウォレットは、複数の暗号資産をまとめて管理することができる自己管理型の仮想通貨ウォレットであり、現在はブラウザ拡張機能・iOS版アプリ・Android版アプリが提供されています。

NISTの報告では「トラストウォレットの旧iOS版アプリには、仮想通貨を盗まれる可能性のある深刻な脆弱性がある」ということが説明されていますが、トラストウォレット側はこれに関する複数の報道で誤解があることも説明しているため、トラストウォレットを利用していない方も内容を理解しておくことが重要です。

米国立標準技術研究所（NIST）の指摘

米国立標準技術研究所（NIST）が2月8日に公開した報告では、以前公開されていた「Binance Trust WalletのiOS版アプリ」に関する脆弱性が指摘されており、トラストウォレットの旧iOS版アプリではTrezor社の暗号ライブラリが誤用されていたため、仮想通貨が盗まれる可能性があったと説明されています。

iOS版のBinance Trust Walletアプリでは、0.0.4でtrezor-cryptoライブラリが誤用されていたため、デバイスの時間が唯一のエントロピーソース（データ生成源）となるニーモニックワードが生成される仕組みとなっており、2023年7月に悪用されたことによって経済的損失が発生しました。

攻撃者は適用可能な時間枠内の各タイムスタンプに対してシステム的にニーモニックを生成し、それらを特定のウォレットアドレスにリンクさせて、そのウォレットから資金を盗むことができます。

NISTの指摘を簡単に要約すると「トラストウォレットの旧iOS版アプリでは、復元フレーズの生成に問題があったため、攻撃者に復元フレーズを生成されて、仮想通貨を盗まれる可能性がある」ということになります。

この報告を受けて、仮想通貨業界では「トラストウォレットの脆弱性」について報告する記事や投稿が多数なされていましたが、トラストウォレットはそのような報告に誤解があるとして、今回の説明記事を公開しています。

トラストウォレットからの説明

脆弱性は修正済み・ユーザー資産は安全

トラストウォレットは記事の冒頭で「NISTが報告した脆弱性は2018年に見られたものであり、この脆弱性は同年にすぐ修正され、影響を受けた数千人のユーザーにも通知を実施、安全なウォレットに移行された」と説明しています。

同社は「トラストウォレット利用者の資産は安全であり、ウォレットも安全に使用できる」と説明しており、「安全性に気を配ってもらえることには感謝しているが、報告には不正確な点が複数含まれているため、それについて詳しく説明したい」と述べています。

米政府主導の公式調査ではない

今回の脆弱性に関する記事の内容については「トラストウォレットは米政府・米サイバー当局・NISTによる調査は受けていない」との説明がなされています。

ニュース記事で強調されている情報は政府主導の公式調査で得られたものではないとのことで、それらの情報は独立した代表者が脆弱性レポートを提出できる、公的にアクセス可能なオープンデータベースへの送信を通じて提供されたものだと説明されています。

脆弱性関連の問題にも対処済み

報告されているiOS版アプリの脆弱性については「この脆弱性は2018年3月に作成されて、2018年7月に修正された、iOS版ウォレットに存在していたものである」と説明されています。

この脆弱性は合計1万件ほどの限られたダウンロードに影響を与えたとのことで、脆弱性発覚後はコードを修正して、影響を受けた全てのユーザーに報告、安全な移行パスを提供して、脆弱なユーザーが残らないようにしたとも説明されています。

今回の脆弱性は復元フレーズに関するものであるため、当時作成されたウォレットを今も使用している場合には影響を受ける可能性があるとも考えられますが、トラストウォレットは「データベース内で特定された脆弱なウォレットアドレスに残高がないことも判明した」と述べています。

2023年7月に発生した事件との関連性

NISTの報告では「トラストウォレットの脆弱性が2023年7月に悪用されて経済的損失が発生した」と説明されていますが、トラストウォレットは「2023年7月の仮想通貨流出事件は、トラストウォレットだけの原因で発生したものではない」と説明しています。

同社チームがこの問題について慎重に調査した結果によると、2023年7月12日に発生した仮想通貨流出は「複数のソース」によって引き起こされた可能性が高いとのことで、「トラストウォレットが根本原因である可能性は極めて低い」と強調されています。

トラストウォレットのデータベースでは、ハッキングされた2,000アドレスの中の600アドレスしか見つかっていないとのことで、「それらのアドレスがトラストウォレットで生成されたものなのか、外部からインポートされたものなのかはわからない」ともコメントされています。

また、2018年の脆弱性に関連するアドレスはその中の1/3のみだったとのことで、「私たちは2018年に見つかったトラストウォレットの脆弱性が、2023年7月のセキュリティ侵害の原因ではないと確信している」と説明されています。

トラストウォレット以外でも注意が必要？

今回NISTが報告した内容では「トラストウォレットの旧iOS版アプリの脆弱性が2023年7月に起きた仮想通貨盗難事件に繋がった」ということが指摘されていますが、トラストウォレットは「この問題の根本原因はトラストウォレットではない」と説明しています。

トラストウォレットのiOS版アプリで見つかった脆弱性は「Trezor社の暗号ライブラリを誤用したこと」に起因するものであり、場合によっては他のウォレットアプリにも影響が出ている可能性があるため、注意が必要であると考えられます。

仮想通貨価格が高騰している時期には「仮想通貨の盗難・ハッキング・詐欺」などが増加する傾向があるため、ウォレットを定期的にアップデートしたり、安全性が不安なウォレットの資産を新しいウォレットに移動させるなどの対応も重要です。

>>資産を守るために読みたい記事

（発表：トラストウォレット、NIST）