各大手企業の参入により、NFTという言葉をよく耳にするようになりました。
そして、クリエーター側の販促戦略として、「無料NFTの配布」「NFTのギブアウェイ(giveaway)」などの企画を行うケースも増えてきました。
そのなかで、「NFT買います」というフレーズも目にするようになったNFTクリエーターもいることでしょう。
例えば、こちら。
イーサ高騰により、利益分をNFT購入に充てたいと考えております。
— 愛T (@T88738443) October 17, 2021
💰予算:0.8ETH
🎨個数:1点
↔️ジャンル:アート、イラスト、音楽など、NFTならジャンル問わず
フォローいただいた後、その後DMにて詳細をお伺いできればと思います。
まずは、作品の概要をコメントください。#NFT #NFT買いたい
実は今回、検証するために、筆者が発信したツイートです。
結論からいえば、資産が抜き取られるスニッフィングという不正行為が行われている可能性があるため注意が必要です。
そして、本記事で検証する内容は、下記の2つ。
- 「NFT買います」の罠
- OpenSeaで公開しているNFTの脆弱性
なお、今回の目的は、情報処理技術者としてNFTクリエーターへの注意喚起です。
技術的な話が出てきてわかりにくい箇所もあると思いますので、NFTの脆弱性に関するご質問は、下記のディスコードからお問い合わせください。
ディスコードコミュニティ「ait_series」はこちら。
ぜひ、最後までご覧ください。
情報処理技術者としてNFTの脆弱性を発信する目的は?
筆者は、情報処理技術者という側面を持ちながら、WebライターやNFTクリエーターとしても活動しています。
ここでは、NFTクリエーターとして注意しなければならない「NFTに関する脆弱性」を発見したので解説していきます。
情報処理技術者とは?
そもそも、情報処理技術者とは何なのか?よく分からない方に、わかりやすく説明します。
情報処理技術者とは、IPA(情報処理推進機構)が推進するITに関連した国家資格。例えば、プログラマーやエンジニアなどのITに関する知識やスキルを国が証明する制度です。
情報処理技術者について、さらに詳しく知りたい方は、下記のIPA公式ホームページをご覧ください。
IPA(情報処理推進機構)の公式ホームページはこちら
そして、筆者はホワイトハッカーの経験を持つ情報処理技術者。ホワイトハッカーとは、IT技術のセキュリティーに関するプロフェッショナルです。
例えば、悪意のある第3者から受けるサイバー攻撃に対抗することが、ホワイトハッカーの存在する意義です。
そんな筆者が今回、NFTに関する脆弱性を発見したことをきっかけに、NFTクリエーターへの注意喚起も含めて情報を公開します。
NFTの脆弱性を発信する目的は?
筆者が、NFTの脆弱性について発信する目的は、下記の2つです。
- OpenSeaで出品するNFTクリエーターへの注意喚起
- NFTが将来発展するための技術的な改新
それぞれの項目について、詳しく解説します。
OpenSeaで出品するNFTクリエーターへの注意喚起
NFTクリエーターの多くは、OpenSeaで出品していることでしょう。
筆者もNFTクリエーターとして活動していますが、やはりOpenSeaを主軸に販路を展開しています。そして、NFTクリエーターとして考えることは、ただ1つ。
自分のNFTをどうにかして販売したい!!
どうしても「売れたい」という気持ちが強くなることは仕方ありません。
そのようなNFTクリエーターの思いを逆手にとって、「#NFT買います」「#NFT買いたい」などというフレーズが横行しています。
そして、もしかしたら「#NFT買います」「#NFT買いたい」は、NFTの脆弱性を衝いた不正行為かもしれないことは留意しておく必要があります。
ただし、すべてが不正行為とは限りません。
なかには、本当にNFTが欲しくて「#NFT買います」「#NFT買いたい」と発信している方もいることは理解しておきましょう。
NFT業界が将来発展するための技術的な改新
情報処理技術者としてNFTの仕組みを考察すると、まだまだセキュリティ面では強固とはいえません。
確かに、ブロックチェーン技術は有能なハッカーでも破ることは難しいでしょう。
しかし、現行のOpenSeaやメタマスクなどを介してNFTを送付する場合、スニッフィング(情報の抜き取り)の危険性が伴うことはNFTクリエーターとして理解しておく必要があります。
今後、NFT業界が発展することを期待して、今回情報を発信することにしました。
「NFT買います」の罠からNFTの脆弱性に気づいたきっかけは?
筆者が、NFTクリエーターに「NFT買います」の罠から脆弱性を考察する目的は前述したとおりですが、そもそも「NFT買います」の罠とは?という方もいることでしょう。
まずは、「NFT買います」の罠について解説します。
「NFT買います」の罠とは?
NFTには、まだまだ隠された脆弱性があることは、すでに周知のとおりかと思います。
そして、OpenSeaやメタマスクなど、NFTを取り巻く各企業や団体も早急に脆弱性の改善に努めていることでしょう。しかし、各企業の対応と悪意のある第3者とのやり取りは、イタチごっこであることも周知の事実。そのため、リアルタイムでの発信が最重要と考えました。
「NFT買います」の罠って何ですか?
2021年10月に入ってから、SNS上で「#NFT買います」「#NFT買いたい」というフレーズが蔓延しています。そして、NFTクリエーターとして活動している方のなかには、実際にコレクションアドレスやウォレットアドレスを送付した方もいることでしょう。
もしかしたら、ウォレットからNFTを抜き取ったり、ウィルスを仕込んだNFTを送付するための手段に用いられている可能性があります。
何度も話しますが、本当にNFTが欲しい方が「NFT買います」と発信していることもありますので、誤解のないようお願いします。
NFTの脆弱性に気づいたきっかけは?
今回、NFT業界について、さまざまな視点から考察してみました。
すると、下記のような口コミや評判がみられたので不思議に思い、情報処理技術者として深掘りしながら検証してみました。
いつの間にか、ウォレットに新しいNFTが届いてる!ラッキー!
私のNFT、ぜひ買ってください!〇〇(ウォレットアドレス)。
情報処理技術者の視点でこのような反応をみたとき、正直恐怖さえ感じました。
その理由は、下記の2つ。
- NFTを活用してハッキングが可能
- ウォレットアドレスから個人情報や資産の抜き取りが可能
この後、この2つについては詳しく解説しますが、このようなコメントを見たことが今回、筆者がNFTの脆弱性に気づいたきっかけです。
NFTを活用してハッキングが可能
NFTの脆弱性から、悪意のある第3者によるハッキングは可能。筆者が実際に検証した結果をキャプチャで解説します。
今回は、筆者のOpenSeaで検証しました。そして、実際に検証するNFTはこちら。
実は、こちらのページは、コレクションアドレスやウォレットアドレスなどから誰でも閲覧できます。
そして、NFTの脆弱性に関する問題はこちら。
プライバシー保護のためモザイクをかけていますが、すべてプログラミングで構築されていることはわかるかと思います。
筆者よりも優秀な技術者が見たときにハッキングされる恐れがあるため、モザイクをかけました。何卒、ご理解ください。
そして、筆者が何より恐れていることが、誰でもあるツールを使えばこのプログラミングコードを閲覧できるということ。NFTは、すべての個人情報がプログラミングコード化されていることは、NFTクリエーターの方も認識しておくべきです。
悪意のある第3者が誕生しないように、ツール名や詳細については非公開とさせていただきます。
ウォレットアドレスから個人情報や資産の抜き取りが可能
情報処理技術者として注意喚起したい内容として、NFTクリエーターは、ウォレットアドレスの取扱いにも注意しなければなりません。
その理由は、ウォレットアドレスを経由して個人情報や資産の抜き取りが可能なため。ちなみに、コレクションアドレスからも個人情報が特定されるため、悪用される危険性があります。
アドレスから個人情報が特定され、個人情報や資産の抜き取られる大まかな流れを、情報処理技術者としての見解で説明します。
- アドレスからOpenSeaやメタマスクの個人情報を特定する
- 個人情報の登録履歴からメタマスクのパスワードを入手する
- 個人情報とメタマスクのパスワードから秘密鍵やシーフレーズを特定する
- 悪意のある第3者によるスニッフィング(資産の抜き取り)が行われる
ただし、これらの行動はすべてブロックチェーン技術で追跡されるため、真っ向からこのような悪事を働く第3者はまず存在しないでしょう。
ただし、ブロックチェーン技術がハッカーによって破られたときは、前述した流れで資産が抜き取られる危険性があることは留意しておいてください。
例えば、下図の画面からも、有能な技術者からすればウォレットアドレスを経由して個人情報に辿りつくことが可能です。
SNSでコレクションアドレスやウォレットアドレスを流すことは、個人情報を公開していることと認識することが重要です。
NFTの脆弱性に対して現在できる対策は?
ここまで、筆者が発見したNFTの脆弱性について解説してきました。
そもそも、NFTの脆弱性を衝いたサイバー攻撃は、不正アクセス禁止法による処罰の対象となります。
Webを介した悪意のある個人情報の抜き取りは、法律で禁止されています。
そして、現在できるNFTクリエーター向けの対策としては、下記の3つです。
- NFTを機密性の高いコンテンツに設定する
- アドレスの公開をクローズドにする
- 身に覚えのないNFTは放置する
それぞれの項目について、詳しくみていきましょう。
NFTを機密性の高いコンテンツに設定する
NFTクリエーターとしては、脆弱性から被害を受けることは避けたいところですよね。
OpenSeaでは、機密性の高いNFTコンテンツにすることで、脆弱性の防止に繋がります。
上図は、OpenSeaの「Creat」から表示されたページです。
NFTの脆弱性を回避する施策として、赤枠の箇所の「Explicit & Sensitive Content」のチェックをONにすることで回避可能。結果的に、NFTのプログラミングコードにフィルターがかかり、個人情報が保護されます。
「Explicit & Sensitive Content」の箇所は、デフォルトではOFFになっていますので、必要に応じてONにしてください。
ただし、一般的にはOpenSeaの「Explicit & Sensitive Content」設定は、18禁コンテンツかどうかの判断で利用されています。例えば、NFTコンテンツが18禁に該当するならONというような設定で用いられています。
とはいえ、下図のようにブロッキングコードによるマスクで、ユーザー情報が保護されていることも事実。現状としては、不正行為やハッキング被害を防止する手段の1つともいえます。
この手のプログラム改変は逐次行われているため、変更がみられれば、随時内容を更新していきます。
アドレスの公開をクローズドにする
NFTの脆弱性を回避するためにも、アドレスの公開をクローズドにすることをおすすめします。
本記事で紹介した例のように、SNS上で「#NFT買います」「#NFT買いたい」というフレーズを見ても、むやみにコレクションアドレスやウォレットアドレスを公開しないようにしましょう。
でも、どうやってコレクションアドレスやウォレットアドレスを交換すればよいの?
現時点でおすすめするコレクションアドレスやウォレットアドレスを交換する方法としては、TwitterならDMなどの一般公開されない機能を活用すべきです。
そして、情報処理技術者として最もおすすめするコレクションアドレスやウォレットアドレスを交換する方法は「Discoad」を活用することです。
Discoadとは、フリーウェアのコミュニケーションツールです。
ただし、Discoad内のスレッド管理者が、「スパム対策」「セキュリティ対策」を行っていることが前提です。
NFTクリエーターとして、コレクションアドレスやウォレットアドレスも資産の1つだということを認識しておきましょう。
身に覚えのないNFTは放置する
身に覚えのないNFTが届いてラッキーと思うNFTクリエーターもいることでしょう。
しかし、そのNFTはコンピューターウィルスが仕込まれているかもしれません。危険性が伴うため、基本的には何もしないことをおすすめします。
万が一、身に覚えのないNFTを開いたり何か違和感を感じたりしたら、すぐにご相談ください
情報処理技術を取り扱うWebセキュリティのプロとして、真摯に回答させていただきます。
NFTの脆弱性についてのご相談は、ディスコードコミュニティ「ait_series」の「NFTの相談窓口チャンネル」にてお問い合わせください。
ディスコードコミュニティ「ait_series」はこちら。
NFTに特化した公的な相談窓口が、現時点で存在しません。NFTのセキュリティ面で何かあれば、すぐにご相談ください。
まとめ|NFTの脆弱性を理解しよう!
今回は、情報処理技術者の視点で、NFTの脆弱性とその対策について解説してきました。
本記事で例に挙げた「#NFT買います」のフレーズは、コレクションアドレスやウォレットアドレスから高額なNFTを保有している投資家の情報を収集することが目的の可能性があります。
そして、多くの方は、その被害に遭ったことすらわかっていないところが問題。その理由は、悪意のある第3者は、資産保有者にバレないように少しずつ盗み取っているためです。
普通に生活していれば、被害に遭っていることすらわからないのも当然です。
筆者としては、NFT業界の発展とともに、NFTクリエーターの方への注意喚起を目的に本記事を公開しています。誤解のないようお伝えすると、筆者は個人情報を抜き取るようなことは絶対にしません。
個人情報を不正に抜き取る行為は、「不正アクセス禁止法」で禁止されています。今回は、IT技術者のプロとしての見解を述べさせていただきました。
もう少し早く、NFTの脆弱性に気づけばよかったのですが、NFTは新興ジャンルのため情報収集に時間がかかりました。
本記事が、NFTクリエーターの円滑な業務と悪質被害の防止に繋がれば幸いです。
コメント
はじめまして。最近OpenseaでNFTの販売をはじめてこちらの記事に辿り着きました。脆弱性について書かれた記事があまりなかったので大変参考になりました。ありがとうございます。
ウォレットアドレスから個人情報が公開されてしまうとのことですが、メタマスクやOpenseaと自分で紐付けた個人情報はメールアドレスぐらいかと思います。他にスマホか端末の情報や送金元の取引所のアカウント情報なども抜かれることもあるのでしょうか…?
多くの方が公開されてるので安心していましたが、不安になってしまいました…。お手数をお掛けしますが、ご教示いただけますと幸いです。
お問い合わせありがとうございます。
現状のブロックチェーン技術自体は脆弱性に対して耐性が強く、ハッカーに破られるような前例は未だみられません。
しかし、メタマスクやOpenSeaなどのサービスは、セキュリティホールと呼ばれる「ハッキング用の抜け穴」のようなものがハッカーによりいくつも設置されるなど、依然として危険な状態です。サービス側も常時、対策はされているようですが、内部プログラムをチェックする限り現状ではハッカーとのイタチごっこのように思えます。
このあたりは、暗号資産関連の法律が確立されれば解決していくと思いますが、まだまだ時間はかかると予測します。
>メタマスクやOpenseaと自分で紐付けた個人情報はメールアドレスぐらいかと思います。他にスマホか端末の情報や送金元の取引所のアカウント情報なども抜かれることもあるのでしょうか…?
こちらの回答としまして、メタマスクやOpenSeaではログインする際にパスワードなどが必要になったり、各サービスの登録時に個人情報を入力したりしたかと思います。
このような情報は、基本的にオープン仕様となっており、知見のある方ですとすぐに調べることが可能です。
これは、暗号資産のクジラが、ウォレットアドレスから特定される流れと似ています。
確かに、スマホか端末の情報や送金元の取引所のアカウント情報なども抜かれることもありますが、現状の法律(不正アクセス禁止法、個人情報保護法など)で守られているため確率で言えば被害に遭う危険性は低いです。しかし、そのような恐れがあることは理解しておく必要があります。
初めまして、質問を失礼いたします。
最近OpenSeaで売買取引を始めたのですが、2つ目のNFTアイテムを購入後に、身に覚えのないNFTがHiddenの中に2つ程入っていました(しかも、画像がこまめに変化するもので、目にチラついて痛いです)。
この記事には「触るな」と書かれてありますが、そのNFTを捨てることは出来ないのでしょうか?
お問い合わせありがとうございます。
身に覚えのないNFTがOpenSeaのHiddenに入っているとのことですが、「そのまま何もしない」ことをおすすめします。
例えば、HiddenからCollectedなどにNFTを移動することで発動するコンピューターウィルスが、NFT内に組み込まれている可能性があります。
また、日本のニュースなどではあまり報道されませんが、Transferによってワームウィルスのように自己複製機能を持たせ、NFTを悪用するケースもみられます。
「画像がこまめに変化する」ということは、動的な何かプログラムが動いている証拠といえます。
本当に害のないものもありますが、安全策を取って「何もしない」という対応でよいかと思います。
ちなみに、現状のOpenSeaはまだまだ脆弱性も多く存在しますが、ねこ様と同じケースで悩まれている方も沢山いらっしゃいます。
このような問題が数多く報告されている背景からOpenSea側もセキュリティ向上の動きが見られますので、何かしら対応策が発表されるまでは何もせず、そのまま放置するのが最善の対策といえます。