クリプトコインポータル ~暗号資産・ブロックチェーンプロジェクト 総合情報サイト~

News:アプリユーザーのビットコインを盗み出すバックドアがオープンソースのコード改変により仕込まれる

公開日: 

 オープンソースのコードライブラリを利用した暗号資産ウォレットにバックドアが仕込まれて、ユーザーのBitcoin(ビットコイン)を盗む企てがされていたことが明らかになった。この事件はオープンソースソフトウェアに関するサプライチェーン攻撃の危機的な状況を物語っている。ユーザーのビットコインを盗み出すバックドアが仕掛けられたのはビットコインウォレットアプリの「Copay」。Copayアプリ内で使用されたコードライブラリ「event-stream」にバックドアが仕込まれている可能性がGitHubユーザーから公式掲示板に報告され、コードが検証されていた。 検証の結果、2018年9月8日に公開されたevent-streamのバージョン3.3.6に新たに導入された「flatmap-stream」と呼ばれるモジュールに問題があることがわかった。バージョン3.3.6公開時のflatmap-stream自体は脆弱性のないものだったが、2018年10月10日にflatmap-streamへ悪質なコードが含まれるという2段階の手続きを踏んでバックドアが仕込まれたとのこと。このバックドアは、Copayの開発したビットコインウォレットを狙い撃ちしたもので、Copayアプリ利用者の保有するビットコインを盗み出すのが目的で設計されていた。GitHub掲示板で問題を提起した有志からはCopayに対して悪質なコードの挿入が指摘されましたが、2018年10月11日までCopayは対応しなかった。当初は「リリース済みのすべてのCopayアプリには、悪意のあるコードが含まれたevent-streamは導入されていない」と主張していたCopayだったが、2018年11月26日になりCopayアプリのバージョン5.0.2から5.1.0まではバックドアの影響を受けていることを認め、これらのバージョンのユーザーには最新版の5.2.0にアップデートするまでアプリを実行しないように求めている。

続きはこちら→→→Gigazine

コメントを残す

入力エリアすべてが必須項目です。メールアドレスが公開されることはありません。

内容をご確認の上、送信してください。

検索

チャート

チャート一覧

Twitter