チェック・ポイント・リサーチ、暗号資産イーサリアム（ETH）のスマートコントラクトを悪用した攻撃について警鐘

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、ブロックチェーン分野でビットコインに次ぐ重要なプラットフォームとして注目されているイーサリアム（Ethereum、ETH）の重要な脆弱性について調査したブログを発表いたしました。本ブログでは、イーサリアムのCREATE2機能に関連するセキュリティリスクについて解説します。

ハイライト

• 利便性の裏に、新たなリスクを呼び込む：技術的進歩が高く評価されているイーサリアムのCREATE2機能は、すでにサイバー犯罪者によって悪用されていることが判明しています。デジタルウォレットのセキュリティを侵害し、資金への不正アクセスを容易にしており、実際に1名のユーザーが350 万米ドル（約5億3千万円）を失ったケースも確認されています。

• 新しい攻撃手法：イーサリアムの代表的な機能として、あらかじめプログラミングしておいた契約を自動で実行する「スマートコントラクト」機能が挙げられますが、攻撃者はユーザーを欺き、まだデプロイされていないスマートコントラクトの取引を承認させていることが明らかになりました。この抜け穴によって、攻撃者は悪意ある契約をデプロイし、暗号通貨を盗むことが可能になります。

• 防御の強化：最新の脅威状況をふまえ、サイバー犯罪者たちの進化する戦略から身を守り、デジタル資産を保護するために、ウォレットのセキュリティを強化することが急務となっています。

スマートコントラクトに革命を起こした「CREATE2」機能とセキュリティ懸念

アップグレード、コンスタンチノープル（Constantinople）の一部として導入されたCREATE2機能は、スマートコントラクトの導入方法に革命をもたらしました。CREATE2機能は、実際のコントラクトコードが書かれる前であっても、決定的アドレスを持つ契約の作成を可能にし、特に分散型アプリケーション（DApps）の複雑なエコシステム内で、スマートコントラクトの相互作用の予測可能性と効率を大きく向上させました。DAppsのシームレスな機能にとって重要な、複数の契約間の相互作用のプランニングを容易にします。

一方で、CREATE2は、イーサリアムにセキュリティ上の重大な抜け穴をもたらしました。予め設定されたアドレスに将来的にスマートコントラクトをデプロイするというCREATE2の機能によって、攻撃者はユーザーを騙し、存在しない契約での取引を承認させることを可能にしました。ユーザーが架空の取引を承認すると、攻撃者はそのアドレスに悪意ある契約をデプロイし、ユーザーのウオレットから暗号資産を盗むことが可能になります。

攻撃のメカニズム

1. エアードロップや巧妙なフィッシングを利用したサイバー犯罪者はユーザーが取引許容額を承認または増額するよう仕向けます。

2. 承認の時点では契約は架空であるため、既存の契約に基づいて脅威をスクリーニングしているセキュリティソリューションの検出を回避することができます。

3. 攻撃者はユーザーの承認を得て悪意ある契約を展開し、ユーザーの資金にアクセスして搾取します。

多くのセキュリティ対策は、既存の契約や既知の行動に基づいて取引を評価し、検証するように設計されています。CREATE2の将来的な契約についてのやり取りを許容するという特性を悪用することで、こうした従来のセキュリティ対策を回避することが可能になります。

ブロックチェーンの最新脅威を理解し、セキュリティ対策を

CREATE2機能の悪用は、ブロックチェーンの領域におけるイノベーションとセキュリティとの間の継続的な戦いを浮き彫りにしています。イーサリアムが進化するにつれ、高度な攻撃もユーザーを守るためのセキュリティのメカニズムも進化させることが必要です。これについての認識の向上と教育は、新たな脅威からデジタル資産を守るための重要な第一歩です。ブロックチェーン開発者とユーザーは、潜在的なリスクに先手を打つために、絶えずセキュリティプラクティスをアップデートし、警戒し続ける必要があります。チェック・ポイントの「Threat Intelブロックチェーンシステム」は、投資家が暗号空間を安全に活用できるよう、新たな脅威に関するインテリジェンスを収集し、共有しています。詳細については、blockchain@checkpoint.com までお問い合わせください。

このテーマについてさらに深く知りたい方は、チェック・ポイント・リサーチのCP<R>ブログをご覧ください。

本プレスリリースは、米国時間2024年3月18日に発表されたブログ（英語）をもとに作成しています。

  

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、ワークスペースを保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp