仮想通貨の取引所のセキュリティ・安全性の世界ランキング一番はビットフライヤーだった件
驚くほど?セキュリティ対策が甘い世界の取引所、の巻
海外ブロクで、世界140の取引所を分析し、実装すべき基本的なセキュリティ問題を確認して、ランキングを公開した記事があったので、ご紹介しておきます。
Security analysis of the most popular cryptocurrency exchanges
ということで、結果を貼るよ。
セキュリティをどの程度実装しているかの確認結果!
↓
- DDoS Protection:80.58%
- X-Frame-Options:65.47%
- Strict-Transport-Security:39.57%
- X-Content-Type-Options:35.25%
- X-XSS-Protection:29.50%
- Using Vulnerable libraries:25.90%
- Don’t Expose Server Information:20.14%
- Application Security Protection:15.11%
- Content-Security-Policy:2.16%
- Public-Key-Pins:0.72%
これだけだと、なんのことやら?なので、下記でちょっと解説します。
調査結果の概略
- 必要と思われる対処について、過半数が実施していたのは、10項目中の2つだけ。
- 26%が既知の脆弱性を持つフロントエンドライブラリを使用。
- 強力な保護を提供できるコンテンツセキュリティポリシーを実装したのは2%だけ。
- 取引量とセキュリティ成熟度との間に相関はなかった。
ということで、言ってしまえば、金融商品を扱っているのに、お前ら素人か?というレベルが多いという。
ただし、現実問題として必ずしも事故が多発しているわけではないわけで。
外部からは見えない部分で現実的な対応をしている可能性はあります。
逆に、サイトがどんなに仕様的に対策してても、コールドウォレットを使ってなかったコインチェックのような現場の運用では意味がない。
なので、ある程度の参考として見ておきたいと思います(そもそも最終的に最もリスクとなるのは、内部犯行なのにゃ)。
セキュリティチェックの用語解説
上記の項目も、英字ばかりで素人には意味不明なものが多いんで、いくつか説明を追加します。
DDoS Protection
いわゆるDoS攻撃に対する防御施策。DoS攻撃とは、大量のリクエストや巨大なデータを送りつけてサーバー制御を飽和させて利用不能にするもの。DDoSはその中でも、大量のマシンから1つの対象に一斉にDoS攻撃を仕掛ける組織的な犯行。大手取引所のバイナンスでは「5~10、大きければ100~600GBのDDoS攻撃を日常的に受けている」と述べています。
コインポストさんの記事より
X-Frame-Options
サイト上のリンクやボタンを偽装して誤クリックを誘い、ユーザーの意図しない動作をさせる、クリックジャッキングと呼ばれるハッキングを防ぐ仕掛け。とあるIBMの調査によると全サイトの5%でしか採用されていないらしいが、WEBエンジニアとしては必須の知識と言われている。
Strict-Transport-Security
Webブラウザに対し、常にhttps(通信内容の暗号化・改竄検出により、なりすまし・中間者攻撃・盗聴などの攻撃を防ぐ)モードにアクセスするよう通知する。
X-Content-Type-Options
該当のページ記述がテキストであると宣言することで、その中に自動処理等の記述があってもスキップされますが、ブラウザによってはそんなテキスト宣言を無視して、制作者が意図しない動作をしてくれる事がある。そんな余計なお世話を防ぐ仕掛け。
まあだいたい、ここらが主なセキュリティ要件になります。
最後に出てきたPublic-Key-Pinsなどは、140の取引所のうち1箇所でしか使われてないので、ぶっちゃけ必要なの?って気もしますが、一応ちょっと書いておくと。
Public-Key-Pins
pinning(証明書のピン留め)とも呼ばれるもので、SSL/TLS証明書の不正利用を防止するもの。これは不正なサーバ証明書が横行してしまう状況への対抗策です。本来だったら「安全ですよ」とお墨付きを与えるはずの証明書自体が偽物だったら、そりゃまずいよね。そこで怪しい証明書が使われた時にサイトの管理人に警告を発する仕組みです(これ超簡略してるけど)。
ついでに感想
例えばDDoS攻撃について、バイナンスでは「うちら毎秒当たり5GBのデータを放出しているので、そんじょそこらのアタックを受けても誤差の範囲で屁のカッパですよ」と言っている(意訳)。
それも力頼みな感じはしますが、実際、処理能力を超える飽和攻撃でサーバを落とすのがDos攻撃であるので、処理能力に対して比較的小さなデータ量の攻撃ならば、それがどうした屁のカッパ、ではあります。
実際にはそこまで見ていかないと、個々で対策している中身の度合いや、基礎的な体力などは見えてこないので、あくまで外から見える部分に対しての一律評価ではあります。
世界140箇所の取引所の中でセキュリティスコアのトップ5はこの取引所だ!
はい、それではお待ちかね。世界の仮想通貨の取引所のセキュリティスコア上位5社の発表です!
数字は10点満点中のスコアで、カッコ内は取引量の世界ランキング(2018/2/5現在)。
- bitflyer.jp:日本(14位) 7
- coinbase.com:US 7
- bitfinex.com:香港(6位) 6
- kraken.com:US(10位) 6
- itbit.com:US(56位) 6
(coinbaseは大手なんだけどランキングサイトのcoinmarketcapで確認できず)
というわけで、bitflyerが「世界一になった」とドヤ顔なのです。
それでも、10点中7点なんだ…って気もしなくもないけど。
とりあえず、
「bitflyerはやることやってる」
は言えるかなあと、思います。
せっかくなので見出しにしてみましょうかね。
bitflyerが世界で最も安全性の高い取引所に認定!
どうみてもヨイショっぽく見えてしまいますけど、
何にしても、USや香港と並んで日本の取引所がランクインしたのは良いことです。
bitflyerは多くの金融機関も出資していることから、当初より堅牢な運営をしているとは言われてきました。
コインチェックの件もあったので、やっぱり、安全性はどうしたって重視したい所。
他の取引所も、負けずに頑張って欲しいものです。
ということで、ビットフライヤーが安全性で世界一に認定されたよ、という記事でした。ご登録は下記からどうぞ。
[bitflyer2]
