ShapeShiftの23万ドルの盗難事件からthe DAOの一件でわかるように、管理者が安全措置を講じていなければ多額の暗号通貨がセキュリティの脆弱性を突いて盗み出されてしまう可能性がある。
特に脆弱性が高いと言われているのがモバイル端末で、偽装したスパイウェアアプリを通して攻撃の対象としてなってしまう可能性がある。今回、コインテレグラフは、サイバーセキュリティ企業SnoopWall CEO、Gary Millefsky氏にモバイル端末でビットコインウォレットを利用しているユーザーが現在直面しているリスクについて話を伺った。
コインテレグラフ (以下CT) : スマートフォンで利用するビットコインウォレットアプリ、これはどの程度セキュアなものなのでしょうか?
Gary Miliefsky (以下GM) 氏: スマートフォンのウォレットは全くセキュアではありません。絵文字が使えるキーボードアプリのダウンロード総数は5億ダウンロードを突破していると言われていて、使いやすいキーボードに偽装したキーロガーアプリやスパイウェアなどがたくさん存在します。初めてスマートフォンのウォレットを使う際に、ビットコインの情報やユーザーネーム/パスワードなどの個人情報を入力する機会があるかと思います。これらの情報はマルウェアなどによって犯罪者のサーバーへリモートで筒抜けになってしまいます。
こういったQRコードやバードコードをスキャンする機能を持つアプリケーションは、eBayやZxing、Scan Inc、DroidLaなどの正規のソースを利用しています。しかしそれでも、SnoopWallはまだ多くのクリープウェアが存在していると考えています。これは、ユーザーの位置の特定や、連絡先のデータの読み出し、USBのストレージへのアクセス、通話記録の読み出し、電話をかける、さらには録音などのユーザーが意図しない煩わしいアクセス権限を許可してしまった結果アプリケーションが個人データを入手できてしまうためです。こういったアクセス権限を利用して、ユーザーは電話番号、連絡先、位置情報の記録などをスキャン可能なQRコードとして生成して利用するため、アクセス権限自体は正規のものなのです。