仮想通貨取引・サイバーセキュリティ
仮想通貨取引を安全に
概要
クライエントである仮想通貨取引企業は、高い流動性と多くの機能を兼ね備えた仮想通貨取引プラットフォームを開発しました。このプラットホームは、スポット、レバレッジ取引の双方に応じて、レバレッジの比率がBitmexの200倍となっています。加えて、取引に際してのサーキットモードは暗号化されており、2層3層になったセキュリティとユーザーの幅広いニーズに合ったサービスを提供可能なホットウォレット&コールドウォレットも有していました。
Tokyo Tech Labは総合的なペネトレーションテストとクライエントのシステム(クラウドフラストラクチャー、Web、モバイル、ブロックチェーンウォレットシステムを個々に)のコードレビューたった14日で行い、サイバー攻撃に対してシステム上脆弱になりそうな穴を全て特定しました。
Tokyo Tech Labは総合的なペネトレーションテストとクライエントのシステム(クラウドフラストラクチャー、Web、モバイル、ブロックチェーンウォレットシステムを個々に)のコードレビューたった14日で行い、サイバー攻撃に対してシステム上脆弱になりそうな穴を全て特定しました。
事例紹介
仮想通貨業界は急激に発展している一方で、その抱えるリスクも大きくなってきます。
仮想通貨取引はハックやサイバー攻撃を受ける傾向が高くなっており、2021年単独で仮想通貨取引における重大な強奪が4回以上発生しました。またコインデスクの2020年調査によると、76億ドル以上の暗号資産が盗難に遭っていることが明らかになっています。ハッカーがセキュリティシステムを処理する新しい手段を発見したことなどからも、状況が悪化していく傾向があります。
クライエントは仮想通貨業界が抱えるリスクに気づいており、新たに開発した仮想通貨取引プラットフォームに関して、リリースの3週間前という短期間にも関わらず、外部によるペネトレーションテストと詳細なコードレビューを行い、システムの脆弱性を発見したいと考えていました。
ホワイトボックステストにおいては、ペネトレーションテストを実行するために必要な全ての権限が、たった14営業日だけ与えられていました。 このテストの焦点は、複数の調査と攻撃を実行し、システムに潜んでいる脆弱性を発見および確認するということです。 全体的な目標は、システムの構造を確認し、ネットワークを評価し、サブシステムを特定し、システムの欠陥を利用して脆弱性を調査し、その調査結果をクライアントに報告することでした。
仮想通貨取引はハックやサイバー攻撃を受ける傾向が高くなっており、2021年単独で仮想通貨取引における重大な強奪が4回以上発生しました。またコインデスクの2020年調査によると、76億ドル以上の暗号資産が盗難に遭っていることが明らかになっています。ハッカーがセキュリティシステムを処理する新しい手段を発見したことなどからも、状況が悪化していく傾向があります。
クライエントは仮想通貨業界が抱えるリスクに気づいており、新たに開発した仮想通貨取引プラットフォームに関して、リリースの3週間前という短期間にも関わらず、外部によるペネトレーションテストと詳細なコードレビューを行い、システムの脆弱性を発見したいと考えていました。
ホワイトボックステストにおいては、ペネトレーションテストを実行するために必要な全ての権限が、たった14営業日だけ与えられていました。 このテストの焦点は、複数の調査と攻撃を実行し、システムに潜んでいる脆弱性を発見および確認するということです。 全体的な目標は、システムの構造を確認し、ネットワークを評価し、サブシステムを特定し、システムの欠陥を利用して脆弱性を調査し、その調査結果をクライアントに報告することでした。
私たちが提案したアプローチ
1
システムの状況を把握する
2
監査の範囲を明らかにする
3
監査する
4
問題を報告する
5
修正プログラムを検証する
このような短期間の中で、私たちのチームが提案したアプローチは、システムを迅速に分析して、潜在的なリスクを特定し、最も重要な項目に優先順位を付け、ペネトレーションテストを実行します。それから、セキュリティの問題を報告し、解決策を提案し、修正プログラムを即急に検証しました。しかも、最初の計画段階では、日本チームとベトナムチームの間で国境を越えたコラボレーションも行われました。
プラットフォームをレリースした後、Tokyo Tech Labはシステムのセキュリティレベルを保証し、システム内部の全てのリスクを分析し、さらに品質向上に向けた計画を提案しました。また、特に重要なリリースの前に定期的に調査を行う予定です。
プラットフォームをレリースした後、Tokyo Tech Labはシステムのセキュリティレベルを保証し、システム内部の全てのリスクを分析し、さらに品質向上に向けた計画を提案しました。また、特に重要なリリースの前に定期的に調査を行う予定です。
成果
クライエントのクラウドアーキテクチャ、Webアプリ、モバイルアプリ、ブロックチェーンウォレットなど包括的な調査とコードレビューで、Tokyo Tech Labはシステム内部にある30問題以上を発見できました。それらのうちの10個は、リリースの前にすぐさま修正の必要がある重大な脆弱性でした。
非常に弱性なアドミンパスワード
多くのAPI関数についてアクセス制限の欠落
古いソフトウェア
モバイル互換性・2ファクター認証
不十分なレート制限
その中で大きな問題のーつは、多くのAPI関数に対する制限が欠落していることでした。 これにより、ユーザーが別のユーザーの情報にアクセスしその内容を変更できる可能性があり、重大なセキュリティリスクが発生します。そこでTokyo Tech Labはこの問題を解決するための修正を提案し、それらが適切に実装されていることを確認しました。
もうーつの問題は、プラットフォームがApache、OpenSSL、jQuery Bootstrap、Bootstrap-Vue、Laravel、PHPといった古いソフトウェアを使用していたことです。 古いソフトウェアは、クライアントをセキュリティ違反やコンプライアンス違反にするだけではなく、既知の脆弱性を利用したハッカーの不正アクセスを可能にしてしまいます。プラットフォームの保護に力を入れている企業は、インフラストラクチャが最新であることを確認するため、定期的にインフラストラクチャを調査する必要があり、またクライアントは自社のプラットフォームを最新で安全なプラットフォームとして宣伝していたため、そもそも古いソフトウェアの使用は避ける必要がありました。
もうーつの問題は、プラットフォームがApache、OpenSSL、jQuery Bootstrap、Bootstrap-Vue、Laravel、PHPといった古いソフトウェアを使用していたことです。 古いソフトウェアは、クライアントをセキュリティ違反やコンプライアンス違反にするだけではなく、既知の脆弱性を利用したハッカーの不正アクセスを可能にしてしまいます。プラットフォームの保護に力を入れている企業は、インフラストラクチャが最新であることを確認するため、定期的にインフラストラクチャを調査する必要があり、またクライアントは自社のプラットフォームを最新で安全なプラットフォームとして宣伝していたため、そもそも古いソフトウェアの使用は避ける必要がありました。
活用したテクノロジー
* 契約上の守秘義務の要件なので、ここではいくつかの事例を紹介する。
事例紹介をもっと見る
お問い合せ内容の確認後、担当者よりご連絡させていただきます。
お問い合わせ
© 2023 Tokyo Tech Lab. All Rights Reserved.