今年2月に検出されたイーサリアムのセキュリティ上の重大な欠陥に対して、現時点でイーサリアムノード上で稼働する全てのクライアントソフトウェアの内「3分の2」だけしかそれに対処出来ていないことをSR Labsが報告した。


ンクリックで済んでしまうように思える「ソフトウェアアップデート」だが、非中央集権化を意図するネットワークではこれのニュアンスが非常に難しい。

というのも、ネットワーク参加者に対して誰かがアップデートを強制できるものなら、そのネットワークは本当に分散化されていると言えるだろうか。

それゆえに、ビットコインやイーサリアムはアップデートの方針に関して慎重であり、ネットワーク参加者が手動でこれを行う選択肢を与えているケースがほとんど。

しかし、SR Researchの報告によるとイーサリアムのクライエントソフトウェアの多くが「DoS攻撃」に対処するためのアップデートをしっかりと行えていないという。

このような現状を踏まえた上で、ブロックチェーンエコシステムのアップデートは「自動化されるべきではないか」という問いを同リサーチチームが投げ掛けた。

 
 
ノードのセキュリティは「二重払い」を防ぐために重要
 
イーサリアムネットワークにアクセスするためには、何かしらのクライアントソフトウェアが必要とされており、現在最も一般的な選択肢には「Parity-Ethereum(Parity)」と「Go-Ethereum(Geth)」の2つが挙げられる。

今回のSR Labsの報告では、これらを始めとするイーサリアムのクライアントソフトウェアが、セキュリティ上でDoS攻撃に対処するためのアップデートを行っていないことが指摘された。

大量のデータを送りつけることでノードをダウンさせるというDoS攻撃は、かねてより危険視されていたPoWというアルゴリズムを採用するブロックチェーンの「重大なセキュリティ上の問題」だ。

分散型システムでも二重払いをさせないということが前提にあるPoWを使ったブロックチェーンにおいて、攻撃者がそれを試みるためにはネットワーク内のハッシュパワー51%以上を支配しなければならない。

ビットコインのような比較的成熟したネットワークではこれが非常に高価で困難だが、仮にハッカーが大量のノードをクラッシュできるものなら、ネットワーク内のハッシュパワーの51%を支配することがより容易になる。

したがって、ソフトウェアのクラッシュはブロックチェーンネットワークにとって深刻なリスクというわけだ。

 
分散型エコシステムでもアップデートの自動化は必要か
 
前述にもあったように、ネットワークのセキュリティを考慮した上で、DoS攻撃に対するアップデートは重要だ。

それでも、完璧なソフトウェアを作成することはほぼ不可能であり、例えばアップデートされていないParity(バージョン2.2.10より前)は、遠隔操作によってダウンさせられるという致命的な脆弱性が2019年2月に報告されている。

もちろんこれはネットワーク全体へのリスクとなるため、ノードに対してアップデートすることが促された。

しかし、今回のSR Labsの報告で明らかになったように、現時点ではイーサリアムネットワーク上のクライアントソフトウェアの内3分の1がアップデートを行っていないようだ。

このような現状を踏まえた上で、(また仮にノード数が増加してもセキュリティに関する認識がないとリスクが依然と残るため) SR Labsはアップデートを「自動化」することを推奨した。

また、Parityがすでに一部のアップデートを自動化していることについて言及し、国際規模のブロックチェーンエコシステムは「パッチの衛生」を向上する必要があると述べた。

(*パッチとは、バグの修正や機能を変更するためのデータのこと)

 
マイニング中央集権化もセキュリティリスクに繋がる!?

今回のSR Labsの報告では、アップデートの方針以外にも、マイニングの中央集権化が指摘された。

上述の説明にあったように、ノードがクラッシュされることは二重払いをより容易にするため、ノード数が少ないマイニングが中央集権化しているネットワークは必然的にセキュリティリスクが高まる。

(*マイニングプールは、ネットワークと通信するために1つのノードを共有することが多い。)

そのため、実質上3つのマイニングプールがネットワークのハッシュパワーの60%以上を占めているイーサリアムは、セキュリティの問題が懸念されるという。

出典:Etherscan

ネットワークのノードが中央集権化されていることが問題視されているのは、イーサリアムだけではない。

例えば、今月15日にステラ財団が管理する主要ノードがオフラインになったため、ステラネットワーク全体が「一時停止」したことが報道された。

また、この報告を受けてリップル社CTOのデイビッド・シュワーツ氏はXRP台帳が「ほとんどの危険なリスク」に対処済みだと述べたものの、XRPもステラと同じような状況に陥る可能性を示唆した。

SR Labsが指摘するようなセキュリティリスクとは裏腹にETH価格の推移は好調だが、信頼できる分散型プラットフォームとして成長するためにも、セキュリティ問題の対処法に関する議論は遅かれ早かれ必要になるかもしれない。

スポンサーリンク