仮想通貨で資金調達を行う「ICO」には平均して5つのセキュリティ欠陥がある

by Marco Verch

「イニシャル・コイン・オファリング(ICO)」とは「スタートアップ企業が仮想通貨を用いて資金を調達する」という仕組みのことで、新規株式公開(IPO)よりも手軽な資金調達方法として近年大きな注目を集めています。そんなICOには「1つのICOにつき平均して5つのセキュリティ欠陥がある」と報じられています。

Researchers: Last Year’s ICOs Had Five Security Vulnerabilities on Average
https://www.bleepingcomputer.com/news/security/researchers-last-year-s-icos-had-five-security-vulnerabilities-on-average/

ICOでは資金を調達したい企業やグループが独自の仮想通貨(トークン)を発行し、資金を提供したい投資家が別の仮想通貨を使用してトークンを購入し、企業やグループが手に入れた仮想通貨を資金として使用するという仕組みになっています。ICOは証券会社の審査等が必要なIPOと比較して非常に簡単に資金を調達することが可能で、世界中の投資家が簡単に参加できる点も高く評価されています。

そんな利点がある一方で、ICOは「詐欺を行いやすい資金調達方法」としても知られており、実際に5億円近くの資金を集めたICOスタートアップが資金を持ち逃げして行方をくらますといった事件も発生しています。資金調達の仲介に証券会社等が挟まっていないため、見かけだけを取り繕った詐欺師集団にも入り込む余地があることから、ICOに参加する際には注意が必要です。

また、ICOセキュリティに特化したセキュリティ企業Positive.comが実施した調査によると、2017年に行われたICOにおいて「1つのICOにつき、平均して5つのセキュリティ欠陥が見られた」そうです。中でもブロックチェーンを利用した仮想通貨の取引を自動化したプログラムである「スマートコントラクト」に、多くのセキュリティ欠陥が見られたとのこと。

今回の報告によれば、Positive.comが調査したICOプロジェクトのうち、実に71％ものICOにセキュリティ欠陥が確認されています。ICOがスタートすれば、ICOに使用されるトークンやスマートコントラクトのプログラムは公開されてそれ以後の変更が不可能になるため、全ての人々がICOのセキュリティ欠陥を探すことができます。

セキュリティ欠陥の多くは乱数生成の不正確さといったプログラマーの専門知識不足や、不十分なソースコードのテストが原因で引き起こされています。Positive.comはICOのWEBアプリと比較して、モバイルアプリには2.5倍もの欠陥が含まれていると報告し、「2017年にICOによってリリースされた全てのモバイルアプリには、セキュリティ上の欠陥がある」とまで述べています。ICOのモバイルアプリにはデータ転送に安全でない方法が使用されていたり、モバイル端末本体のバックアップにユーザーデータが格納されてしまったりするなどのセキュリティ上の欠陥があり、悪意を持ったハッカーがユーザーの仮想通貨を狙うことができるとのこと。

加えて、ICOの主催者自身のセキュリティ意識が不足している場合も多く見られるとPositive.comは報告しています。例えば、ICO主催者が公式のドメインでSNSアカウントを取得していないことがありますが、これは架空の公式SNSを第三者が作成できることを意味し、悪意あるハッカーがICOの投資家をフィッシングサイトに誘導することを可能にします。また、ICO主催者が持つ機密アカウントにおける二段階認証を設定していないケースも存在し、「多くのICOおよびICO主催者はハッカーの攻撃に対して脆弱(ぜいじゃく)である」と結論づけています。

2017年に行われた多くのICOを合算すると、実に50億ドル(約5500億円)以上の資金が世界中からICOに投入されているとのこと。ICO主催者もICOに投資を行うことを検討している投資家も、多額の資金を運用する以上はセキュリティ対策について改めて見直し、注意深くICOに参入する必要があります。