仮想通貨ウォレットのコイノミウォレット ネット上の脆弱性の指摘に対して反論

仮想通貨ウォレットのコイノミウォレットは、同社のソフトウェアがグーグルのスペルチェックを担当するリモートサーバーにウォレット回復用のシードフレーズを(暗号化されていない)平文で送信してしまうという指摘が最近あったことに対して、そうした事実はないと否定した。反論は同社が2月27日に発表した公式声明の中で行われた。

反論の中でコイノミは、シードフレーズの送信はSSL(HTTPS)を介して暗号化されており、グーグル以外のどのような受け手も解読できないと主張した。

コイノミによると、シードフレーズの送信はユーザーがウォレットの回復機能を利用した場合のみ、しかもデスクトップ版のソフトウェアを使用した場合でのみ起きていた事象だった。加えて、コイノミの主張によると、グーグルのスペルチェックサーバーに送信されたフレーズはキャッシュされたり保存されたりすることはなかった。というのは、サーバー側で不正なリクエストと判断されて実際に処理に回されることはなかったからだ。

今回の問題は、報告によると、コイノミウォレットのデスクトップ版に含まれていたプラグインソフトウェアが正しく設定されていなかったことが原因で起きた。

コイノミによると、2月22日に同社の掲示板にワリス・アル・マーワリなる人物がサポート依頼を書き込み、コイノミウォレットに存在する脆弱性について指摘してきた。マーワリ氏は「コイノミを使うな」という名の専用サイトを立ち上げ、脆弱性により同氏のウォレットがハッキング被害を受けたと主張を展開している。

コイノミはこのサポート依頼の優先度を高く設定し、すぐに調査を開始したという。コイノミのアンジェロス・レウーシス最高執行責任者(COO)は、マーワリ氏が異常なまでに同社を「恫喝し、罵倒し、脅迫し続けた」と公式テレグラムグループで発言している。

「コイノミを使うな」サイトに掲載された動画では、脆弱性疑惑について再現を試みているが、ソフトウェアの設定でHTTPSの暗号化を解除するオプションが選択されているように見える。

レウーシス氏はコインテレグラフの取材に対してマーワリ氏との会話の記録とされるものを見せてくれた。その中でマーワリ氏は、ウォレットにはバックドアが存在すると主張し強硬な姿勢で次のように述べている。

「数時間以内に資産を返還しなければ、そちらに不利な証拠を揃えてこの件を公表する」

コインテレグラフが得た情報によると、マーワリ氏は2月23日にコイノミに対して、盗難にあったとされる仮想通貨を返還するか、同額の米ドルをもって弁済するよう求めてきた。さもなくば、「ソーシャルメディアでこの件を公表せざるを得なくなる」と述べたという。しかし、自身が発見した脆弱性の詳細については明かさなかった。盗難疑惑のかかる資産の返還にコイノミが応じる姿勢を見せるまで、現状のまま待機すると述べたという。

レウーシス氏によると、コイノミは疑惑を公表するのにマーワリ氏が取った手段では十分な説明責任が果たされていないと考え、脆弱性とされる問題について、さらに詳しい情報を提供するよう求めた。この要請に対してマーワリ氏は、資産返還の確約が取れるまでは詳細を明らかにしないと返答したようだ。

翻訳・編集 コインテレグラフ日本版

元記事はこちら