編集部注:この原稿は千野剛司氏による寄稿である。千野氏は、暗号資産交換業者(取引所)Kraken(クラーケン)の日本法人クラーケン・ジャパン(関東財務局長第00022号)の代表を務めている。Krakenは、米国において2011年に設立された老舗にあたり、Bitcoin(ビットコイン)を対象とした信用取引(レバレッジ取引)を提供した最初の取引所のひとつとしても知られる。
暗号資産取引所クラーケンは、取引所によるセキュリティ対策の一環としてバグバウンティ・プログラム(bug-bounty program)を実施しています。バグバウンティとは、報奨金制度の一種です。企業が自社の製品・サービスに対する調査を公開で依頼し、世界中のホワイトハッカーから製品やサービスの脆弱性(バグ)の発見・報告を受け、ハッカーに対して報奨金を支払う仕組みを指します。本稿では、なぜクラーケンがバグバウンティを採用しているか、そして、企業だけでなくコミュニティ全体でセキュリティ対策をすることが重要である理由について、解説します。
暗号資産業界全体への貢献も目指す、社内特別チーム「セキュリティ・ラボ」を構築
クラーケンにとってセキュリティは最も重要な事項です。社内には世界最高クラスのセキュリティ専門家やエンジニアが多数在籍しており、常に我々のプロダクト・サービスが正常に機能しているか監視しています。
我々は、セキュリティの専門家集団が在籍する特別チームを「セキュリティ・ラボ」と呼んでいます。
セキュリティ・ラボは、クラーケンのセキュリティがいくら強化されても、暗号資産業界全体のセキュリティ向上がなければ意味がないと考えています。このため、クラーケンの顧客を含めて業界で広く使われている第三者企業開発のプロダクト・サービスをテストし、脆弱性を公開したりセキュリティに対する知識を深めるための教育コンテンツを展開したりしています。
セキュリティコミュニティの力を借りる「バグバウンティ・プログラム」
このようにクラーケンは、自社のセキュリティ・ラボの活動を中心に業界全体でシステム上の欠陥をなくす活動を行う一方で、バグバウンティ・プログラムとして業界全体もしくはセキュリティコミュニティのサポートを得ることで、クラーケンのセキュリティを改善するための取り組みも実施しているのです。
具体的には、顧客や第三者の企業、ホワイトハッカーなどにバグを発見してもらった場合、その対価として謝礼をお支払いするとともに、ウェブサイトの「ウォール・オブ・フェーム」に氏名を記載させていただいています。
クラーケンの「ウォール・オブ・フェイム」(抜粋)
謝礼に関しては、クラーケンでは、バグを報告いただいた方に対して、最低500ドル(約5万5000円)相当のビットコインを差し上げています。特に深刻なバグの場合は、報告いただいたバグの重要度に応じて、500ドル以上の謝礼をお支払いしています。
なお、バグ報告は、bugbounty@kraken.com宛てにお送りいただいています。
脆弱性のレベル
クラーケンでは、脆弱性のレベルを「重大」「高い」「中程度」「低い」に分類しています。
「重大」は、クラーケンやクラーケンの顧客の多くに直接的かつ即時的にリスクがあるケースです。例えば、クラーケンのサインインやパスワード、2FA(2要素認証)を迂回するケースや顧客情報、内部のプロダクションシステムへのアクセスが該当します。
「高い」は、アクセス権限がない機密情報を読み込んだり修正したりする攻撃です。コンテンツセキュリティポリシー(CSP)を迂回するクロスサイトスクリプティング(XSS)や、公開情報から重要な顧客データを発見されることなどが含まれます。
「中程度」は、限定的ではあるものの、アクセス権限がない情報を読み込んだり修正したりする攻撃です。リスクの低い行為に対するクロスサイトリクエストフォージェリ(CSRF)や、アクセス権限がないにもかかわらず、内部のプロダクションシステムの機密ではない情報を公開することなどが含まれます。
「低い」は、機密情報などへの入手にはつながらない、かなり限定的な範囲でのデータへのアクセスを想定しています。
実は費用対効果が抜群、バグバウンティ・プログラムのススメ
クラーケンは、暗号資産関連企業を含むすべての企業がバグバウンティ・プログラムを導入すべきだと考えます。
なぜなら、バグバウンティ・プログラムの費用対効果は「抜群」といえるからです。
実は、データ流出による被害コストが1件あたり400万ドル(約4億4000万円)であることを考えると、バグバウンティ・プログラムの導入費用はかなりお手頃です。もちろんバグバウンティ・プログラム導入前には多く事項を検討しなくてはなりませんが、外見的には「研究者が脆弱性を報告するためのメールアドレスの設定」、「ふるい分けをするため専門知識のある社員を配属」、そして「報酬体系の確立」を行うだけでプログラムの体制は整います。
ハッカーや優秀なセキュリティ研究者と協力し、コミュニティとしてセキュリティを高めることの重要性
クラーケンは、取引所だけがセキュリティ対策を万全にすれば良いと考えておらず、コミュニティ全体の協力の下でセキュリティレベルの底上げを図ることが重要だと考えます。クラーケンの最高セキュリティ責任者(CSO)のニック・ペルコッコは、クラーケンの強固なセキュリティに自信と信頼を持っているものの、「1つの企業だけで常に100%の安全性を保てる企業は存在しない」と細心の注意を払っています。
では、コミュニティのどんな人々が協力をしてくれるのでしょうか?バグバウンティ・プログラムに関してよく耳にするのは「ハッカー」です。
日本においては、「ハッカー」と聞くと不正にアクセスして重要な情報や資金を盗む集団というネガティブな印象を持つ人が少なくないかもしれません。しかし、ニック・ペルコッコは「我々も含む多くのホワイトハッカーは、より安全な世界を見たいと思っているのが本音だ」と指摘し、次のように述べています。
「我々は、セキュリティのコミュニティがシステムやプロダクトの脆弱性を発見することで企業やプロジェクトに多大な恩恵をもたらすと信じているし、我々はそのことを会社をあげて大いに歓迎したい」
バグバウンティ・プログラムとは、こうした善意あるハッカーが脆弱性を報告し、報酬を得るための安全なプラットフォームといえます。
コミュニティから協力を募り、脆弱性に関してある意味で「オープン」な姿勢を持つクラーケンは、セキュリティの脆弱性に関する情報を隠したり曖昧にしたりする企業と対照的です。クラーケンは「透明性こそセキュリティと暗号資産の核心的な要素」であり、「(オープンな姿勢こそ)我々を強くし、我々の競争力を高める」(ニック・ペルコッコ)と考えます。
実際、クラーケンはバグバウンティに参加する世界屈指の優秀なセキュリティ研究者によっていくつかのアプリのテストを実施してもらいました。彼らの一部は小さな脆弱性を発見し、クラーケンは本物の攻撃者が悪事を働く前にその脆弱性への対応に成功しました。
2020年は、クラーケンで報酬の支払い対象となったバグ・バウンティは29件あり、平均の報酬額は775ドル(約8万5000円)でした。
クラーケンは、1つの取引所としてのセキュリティ対策に加えて、コミュニティ全体からのサポートによって、外部評価機関から安全面で一流の取引所であるという評価を得られたのです。
関連記事
・Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施
・フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加
・曖昧だから良い? 米国の暗号資産規制がイノベーションを取りこぼさないワケ
・米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設
・今さら聞けないNFT:「コンテンツ大国」日本のクリエイターが真剣になる理由
・NFTアート:何が価値の源泉なのか? 新たな投資スタイルへの道を歩むNFT
・ソニーがPS4のバグ発見に500万円超の賞金を出すと発表
カテゴリー:寄稿
タグ:暗号資産 / 仮想通貨(用語)、クラーケン / Kraken(企業・サービス)、ハッカー / ハッキング(用語)、バグ / 脆弱性(用語)、バグバウンティ / バグ報奨金制度(用語)、ブロックチェーン(用語)
画像クレジット:Ewan Kennedy on Unsplash
