全1416文字
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、3件のトピックを取り上げる。SBINFTからのNFT流出事件と、医療関連事業を手掛けるリニカルへの不正アクセス、複数のインターネット接続サービスで発生した通信障害である。
被害を受けたNFTはすべて所有者に戻る
SBINFTは2021年10月8日、NFT(Non-Fungible Token、非代替性トークン)を売買するプラットフォーム「nanakusa(ナナクサ)」でNFTが流出した事件に関する報告書を公開した。事件は9月3日に明らかになっていた。
nanakusaからのNFT流出に関する報告書
(出所:SBINFT)
NFTはブロックチェーン技術を利用してデータを管理する仕組み。nanakusaでは、NFTを使って写真や動画などのデジタル資産を売買できる。SBINFTは9月30日にSBIホールディングスの子会社になり、スマートアプリから社名変更すると発表していた。
報告書では事件の概要や経緯、原因などを説明した。NFTは8月21日から9月2日にかけて流出した。被害に遭ったNFTは36件、NFTウォレットアドレスは17件。9月3日にTwitterなどで被害を公表した後、攻撃者からNFTの返却があったため、すべての所有者に戻したという。
報告書に含まれる流出事件の時系列図
(出所:SBINFT)
流出原因は、攻撃者が購入処理の実行権限を生成するプログラムに不正アクセスを行い実行権限を手に入れたため。これによりNFTをタダ同然で取引されたとしている。
根本原因は、実行権限取得の暗号化アルゴリズムに複雑性が不足していたため。秘密鍵の強化やACLによる実行権限の制限、暗号強度の複雑化といった対策を施し、9月19日にサービスを再開した。
