デジタルデータに対し、ブロックチェーン技術により、唯一無二の価値を持たせることができる「NFT(非代替性トークン)」。NFTが注目を集めている理由の1つに所有者を明確にできることがある。あわせて、そのデジタルデータが唯一無二、つまり、希少性が高いことも保証される。

こうした背景から、NFTで価値を示すデジタルアートが増えており、そうしたデジタルアートの中には、数億円の値が付くものもある。しかし、そうした状況をサイバー犯罪者が見逃すはずはない。ImpervaがNFTの窃盗が増えてきているとして、NFTの窃盗を防ぐためのヒントを公開したので、そのポイントを紹介しよう。

NFTのリスク

NFTはブロックチェーンに保存されるが、デジタルウォレットやマーケットプレイスにおいて購入・管理される。これらのプラットフォームはパスワードなどが流出していない限り安全だが、ログイン情報が流出すると、ATO(アカウント乗っ取り)攻撃を受けるリスクがあるという。

ATO攻撃において、サイバー犯罪者はまず、情報漏洩、ソーシャル・エンジニアリング、フィッシング攻撃などにより流出した認証情報のリストを、ダークウェブで入手する。その後、デジタルウォレットやマーケットプレイスのログイン画面にてログイン情報を大量に入力する、クレデンシャル・スタッフィングという手法を用い、アカウントに不正アクセスするという。

また、NFTの所有権は検証可能であり、仮想通貨は匿名性が担保されるため、ATO攻撃によりNFTがほかのアカウントに移された場合、新たな所有者を追跡することは事実上不可能とのことだ。

暗号資産が中央集権的な介入が不可能な点も、窃盗されたNFTの追跡が困難な理由の1つとなっている。窃盗されたNFTの多くはそれぞれ100万米ドル以上で販売されており、なかには7,000万米ドルで再販されたNFTも存在するという。

NFTが盗まれたら……

NFTが普及する中、攻撃も頻繁に起こっているようだ。例えば、俳優のセス・グリーンは今年6月、フィッシング攻撃に遭い、デジタルウォレットから4つのNFTが窃盗された。盗まれたNFT「Bored Ape」は、制作中のシリーズに出演予定だったため、グリーン氏は165イーサリアム(当時約29万7,000米ドル)を支払い、NFTを取り戻すことを余儀なくされた。

また、昨年12月には、アートギャラリーオーナーのトッド・クレイマーが約230万米ドル相当のNFTを盗まれ、盗まれたNFTはマーケットプレイスのOpenSeaに掲載された。

  • NFTマーケットプレイス「OpenSea」。さまざまなNFTアートが販売されている

Impervaは、NFTの窃盗が発生した場合、中間業者である仮想通貨取引所やマーケットプレイスができることは限られていると指摘している。

例えば、OpenSeaは2022年2月、フィッシング攻撃に遭ったが、攻撃者はわずか3時間で総額170万米ドル以上になる254件のNFTの窃盗に成功した。このような事件が起きた際、マーケットプレイス内の取引を停止することはできるが、NFT自体はブロックチェーンに保存されているため、盗まれたNFTが被害者に返却されることはないという。

NFTを狙うサイバー攻撃にどう対処すべきか?

Impervaは、ユーザーが安全に取引できる環境を確保するため、仮想通貨取引所やマーケットプレイスは、ATO攻撃に対する保護を提供すべきと指摘している。

ATO攻撃を阻止するには、攻撃の標的となったアカウント、攻撃手法、ログイン情報の漏洩状況について明確に把握し、これらの洞察に基づき悪意のあるアクセスを特定できる、多層型で攻撃者の意図にもとづいた検知機能が必要とのことだ。

加えて、ATO攻撃が検知・阻止された際はユーザーにその旨を通知し、パスワードに関する推奨事項を啓発することも重要となる。Impervaはパスワードを作成する場合、ユーザー自身が覚えられないパスワードを作成してしまわないよう、パスワード作成時のルールを作ることを推奨している。

このようにして、プラットフォーム側がATO攻撃や詐欺からユーザーを保護しつつ、ベストプラクティスを推進し、信頼できるリポジトリとしての評価を得られるよう努める一方、ユーザーも自らのデジタル資産に責任を負うことが求められるという。