対話スローガン：Web3のセキュリティ現状、対応策と起業の展望

根据 Cyvers の報告によると、2024 年の重要なセキュリティトレンドの要約では、今年の Web3 ネットワークの脅威が急激に増加し、165 件のセキュリティインシデントが発生し、資金損失は 23 億ドルを超え、2023 年（16.9 億ドル）よりも 40% 増加しました（市場要因を考慮）。その中で、アクセス制御に関連するインシデント（67 件）は 23 億ドルの損失の 81% を占め、約 98 件のスマートコントラクトの脆弱性による損失は合計 4.563 億ドル、1 件のアドレス中毒事件は 6800 万ドル以上の損失を引き起こしました。しかし、2022 年（37.8 億ドル）と比較すると、2024 年のセキュリティインシデントによる損失は 14.8 億ドル減少しました（減少率 40%）、そして 13 億ドルの盗まれた資金が回収されました。もし Web3 が霧に包まれた暗い森であるなら、そこには狙いを定めて待ち構えるハンターが潜んでおり、また、豊富な調査経験を持つセキュリティ担当者や、霧を払い、悪を暴く侠客もいます。Starlabs Consulting の今号「Disruptors Unplugged」の対話の相手である SlowMist は、後者に属します。

SlowMist は、ブロックチェーンエコシステムのセキュリティに特化した会社で、2018 年 1 月に設立され、「脅威発見から脅威防御までの統合的な安全ソリューション」を通じて、世界中の多くの主要または著名なプロジェクトにサービスを提供しています。現在、国際的なブロックチェーンセキュリティのリーダー企業に成長し、世界の十数カ国および地域からの千社以上の商業顧客を持っています。そのセキュリティソリューションには、安全監査、脅威インテリジェンス（BTI）、防御展開などのサービスが含まれ、暗号通貨のマネーロンダリング防止（AML）、偽充填脆弱性スキャン、安全監視（MistEye）、ハッキングされたファイルデータベース（SlowMist Hacked）、スマートコントラクトファイアウォール（FireWall.X）などの SaaS 型セキュリティ製品が提供されています。SlowMist は、業界内で独自に多くの一般的な高リスクのブロックチェーンセキュリティ脆弱性を発見し、公表しており、業界から広く注目と認識を得ています。
以下は、今号「Disruptors Unplugged」の対話の要点です。
この記事のポイント：

• スマートコントラクトの脆弱性、秘密鍵の漏洩、ソーシャルエンジニアリング攻撃、サプライチェーン攻撃は、現在の Web3 エコシステムで比較的一般的かつ深刻なセキュリティ脅威であり、業界に対して継続的な挑戦をもたらしています。
• セキュリティは動的管理のプロセスであり、第三者のセキュリティ監査は短期間でプロジェクト側にセキュリティ実践の要求を実施させることができますが、プロジェクトの長期的な安全で安定した運営を真に保証することはできません。したがって、自らのセキュリティ体系を構築し、改善することが重要です。
• 現在、MistTrack は 3 億以上のアドレスラベル、1,000 以上のアドレスエンティティ、50 万以上の脅威インテリジェンスデータ、9,000 万以上のリスクアドレスを蓄積しており、これらはデジタル資産の安全性を確保し、マネーロンダリング犯罪を打撃するための強力な保護を提供しています。
• Web3 の爆発的な成長は、多くの新しいプロジェクトとユーザーをもたらしましたが、セキュリティインシデントが頻発しており、市場は専門的なセキュリティサービスの需要が継続的に増加しています。同時に、ますます多くのプロジェクトがセキュリティとコンプライアンスの統合を重視し始めており、これも専門的なセキュリティサービス会社にとっての切り口を提供しています。

01

Web3 業界について
🌃 Starlabs Consulting：SlowMist の見解では、現在の Web3 エコシステムで最も深刻なセキュリティ脅威は何ですか？
SlowMist： 現在の Web3 エコシステムでは、以下のようなセキュリティ脅威が比較的一般的であり、高い深刻度を持っていると考えています。これらの脅威は業界に対して継続的な挑戦をもたらしています。
まず、スマートコントラクトの脆弱性は広く注目されている問題です。スマートコントラクトの不変性により、一度脆弱性が悪用されると、取り返しのつかない損失を引き起こす可能性があり、これがほとんどの攻撃事件の根本的な原因です。一般的なスマートコントラクトの問題には、権限管理の不適切、整数オーバーフロー、論理エラーなどがあります。
次に、秘密鍵の漏洩も重大なセキュリティリスクです。ユーザーやプロジェクト側において、秘密鍵の管理における不注意（例えば、秘密鍵の不適切な保管やデバイスの攻撃を受けること）は、資産が盗まれる重要な原因です。秘密鍵の安全性は、資産の制御権に直接関わります。
さらに、ソーシャルエンジニアリング攻撃（フィッシング攻撃、アカウントの盗難、なりすましなど）も一般的な悪用手段です。ユーザーやプロジェクトチームのセキュリティ意識が不足しているため、攻撃者が防御線を突破する切り口となることがよくあります。
最後に、最近、サプライチェーン攻撃のセキュリティインシデントが多発しているため、サプライチェーンセキュリティも Web3 業界の重要なセキュリティ問題となりつつあります。サプライチェーンセキュリティの脆弱性は深刻な結果をもたらす可能性があり、悪意のあるソフトウェアやコードは、ソフトウェアのサプライチェーンの各段階に埋め込まれる可能性があります。これには、開発ツール、サードパーティライブラリ、クラウドサービス、更新プロセスが含まれます。これらの悪意のある要素が成功裏に注入されると、攻撃者はそれを利用して暗号資産を盗んだり、ユーザーの機密情報を取得したり、システム機能を破壊したり、身代金を要求したり、悪意のあるソフトウェアを広めたりすることができます。
🌃 Starlabs Consulting：Web3 分野での攻撃事件の頻発に直面して、プロジェクト側（特にスタートアッププロジェクト）は、SlowMist のような第三者のセキュリティサービスプロバイダーと協力する以外に、日常的な防御においてどのようなことができるでしょうか？いくつかのアドバイスをお願いします。
SlowMist： 現在、Web3 プロジェクトが直面している攻撃手法は多岐にわたり、プロジェクト間の相互作用がますます複雑になっています。この複雑さは、新たなセキュリティリスクを引き起こすことがよくあります。多くの Web3 プロジェクトの開発チームは、一般的に一線でのセキュリティ攻防の経験が不足しています。プロジェクトの開発過程では、チームは通常、全体的なビジネスの検証や機能の実現に焦点を当て、安全体系の構築を軽視しがちです。したがって、十分な安全体系がない場合、Web3 プロジェクトのライフサイクル全体にわたって安全性を確保することは困難です。
安全を確保するために、プロジェクト側は通常、専門のブロックチェーンセキュリティチームを雇ってコード監査を行います。安全監査は短期間でプロジェクト側に安全実践の要求を実施させることができますが、プロジェクト側が自らの安全体系を構築するのを助けることはできません。SlowMist のセキュリティチームは、このために「Web3 プロジェクトの安全実践要求」をオープンソース化しました (https://github.com/slowmist/Web3-Project-Security-Practice-Requirement)。これにより、ブロックチェーンエコシステム内のプロジェクトチームが Web3 プロジェクトの安全スキルを習得するのを継続的に支援しています。私たちは、プロジェクト側がこれらの要求に基づいて自らの安全体系を構築し、改善することを望んでいます。監査後も一定の安全能力を維持できるように、興味のある方は検索して読んでみてください。
私たちは常に、セキュリティは動的管理のプロセスであり、単に第三者のセキュリティチームの短期的な監査に依存するだけでは、プロジェクトの長期的な安全で安定した運営を真に保証することはできないと考えています。したがって、Web3 プロジェクトの安全体系を構築し、改善することが重要であり、プロジェクト側のチーム自身が一定の安全能力を持つことが、プロジェクトの安全と安定した運営をより良く保障するために必要です。また、プロジェクト側のチームは安全コミュニティに積極的に参加し、最新のセキュリティ攻防技術や経験を学び、他のプロジェクト側のチームやセキュリティ専門家と交流・協力し、エコシステム全体の安全性を向上させることをお勧めします。同時に、内部の安全研修や知識普及を強化し、従業員の安全意識と能力を向上させることも、安全体系を構築するための重要なステップです。
🌃 Starlabs Consulting：進化し続ける攻撃手法に直面して、セキュリティ会社はどのように「魔高一尺、道高一丈」を実現するのでしょうか？
SlowMist： SlowMist の現在の対応方法の一例を挙げると、まず、新しい脅威に対する感度を常に保ち、最新の攻撃動向を監視し、カスタマイズされた脆弱性検出、オンチェーン分析、監視ツールを開発することで、リアルタイムの防護とより効率的な応答能力を実現しています。
次に、私たちは脅威インテリジェンス共有ネットワークを持っており、業界のパートナーやプロジェクト側との緊密な協力を通じて、最新のセキュリティインテリジェンスを迅速に取得し、オンチェーンデータ分析技術を活用して攻撃者の資金の流れを追跡し、被害者が可能な限り損失を回復できるよう支援しています。
さらに、逆解析やケースレビューも欠かせない部分です。過去のセキュリティインシデントの深いレビューや不定期の Hacking Time の共有を通じて、自身の技術能力を向上させています。

02

SlowMist について

🌃 Starlabs Consulting：あなたたちは毎日多くの仕事をしており、ハッカーのアドレスを評価し、リンクを分析し、資金の動向を追跡していますが、その中でどのくらいの割合が委託を受けたもので、どのくらいが公益のためのものですか？
SlowMist： SlowMist のマネーロンダリング防止と資金追跡業務は、主に二つの側面から成り立っています：顧客からの自主的な委託と公益的なサービスです。
公益的なサービスの面では、私たちは多くの重大な公開攻撃事件の追跡作業に参加しています。プロジェクト側が私たちに自主的に連絡してこようとしまいと、私たちは常に最初の段階でフォローアップします。この部分の作業は、業界の健全な発展に対する責任感から来ています。ハッカーの行動を迅速に暴露し、攻撃手法を分析することで、Web3 エコシステム全体の安全性に貢献できることを望んでいます。それに加えて、SlowMist は毎日多くの被害者からの助けを求める情報を受け取っており、その中には数千万ドルを失った大規模な被害者も含まれており、私たちに資金追跡と損失回復のサービスを提供するよう求めています。これらの案件に対して、私たちは無料で案件評価のコミュニティ支援サービスを提供しています (https://aml.slowmist.com/recovery-funds.html)。
一方で、SlowMist は Web3 プロジェクト側に特化した緊急対応サービスも提供しています (https://cn.slowmist.com/service-incident-response.html)。このサービスは、プロジェクト側がハッカー攻撃などの突発的な事件に遭遇した際に、迅速かつ効果的にリスクに対処できるよう支援します。私たちは攻撃者の侵入経路と侵入後の行動を詳細に分析し、攻撃者のオンチェーンおよびオフチェーンのプロファイルを構築します。同時に、盗まれた資産の流れを追跡します。このサービスは、オンチェーンおよびオフチェーンの侵入分析から資金追跡の全過程を含み、プロジェクト側がセキュリティインシデントを振り返るのを助け、SlowMist のブロックチェーンマネーロンダリング防止システム（AML）および InMist 脅威インテリジェンスネットワークを活用して、できる限りプロジェクト側が資金損失を回復できるよう支援します。
🌃 Starlabs Consulting：オンチェーンの取引記録は複雑で、私たち普通のユーザーが一つの取引を分析するだけでも頭が痛くなりますが、あなたたちは毎日大量の追跡作業に対応しています。より効率的な分析ツールやデータベースを持っていますか？内部で使用している追跡分析ツールと、C 端ユーザー向けの MistTrack にはどのような違いがありますか？
SlowMist： 実際、私たちが使用しているのも MistTrack (https://misttrack.io) です。シンプルで使いやすく、データも充実しています。現在、MistTrack は 3 億以上のアドレスラベル、1,000 以上のアドレスエンティティ、50 万以上の脅威インテリジェンスデータ、9,000 万以上のリスクアドレスを蓄積しており、これらはデジタル資産の安全性を確保し、マネーロンダリング犯罪を打撃するための強力な保護を提供しています。異なる点は、私たちのチームが内部知識ベースを構築しており、追跡作業の効率を確保していることです。
🌃 Starlabs Consulting：ユーザーが SlowMist の MistTrack 追跡サービスを使用する際、個人のプライバシーを心配する必要がありますか？顧客の個人情報をどのように保護していますか？
SlowMist： その点については心配ありません。SlowMist はセキュリティ会社として、プライバシー保護を非常に重視しており、協力する前にユーザーに私たちのプライバシーポリシーを知らせます。私たちはサービスを完了するために必要なデータのみを保持し、アクセス権限を厳しく制限し、許可された者のみが関連情報にアクセスできるようにしています。すべてのユーザーデータは、転送および保存中に強力な暗号化技術を使用しています。
🌃 Starlabs Consulting：私たちは SlowMist がアライアンスチェーンのセキュリティソリューションも提供していることに注目しています。アライアンスチェーンのセキュリティとパブリックチェーンのセキュリティには、主にどのような違いがありますか？
SlowMist： アライアンスチェーンとパブリックチェーンは、セキュリティニーズにおいて顕著な違いがあります。これらの違いは、ネットワークアーキテクチャ、ユーザーグループ、アプリケーションシナリオの違いに主に表れます。例えば、アクセス制御の面では、アライアンスチェーンは通常、許可されたチェーンであり、認証されたノードとユーザーのみが参加できます。アライアンスチェーンは、悪意のあるノードの操作、不適切な権限設定、データ漏洩など、内部からの脅威に直面することが多いです。一方、パブリックチェーンはオープンなネットワークであり、パブリックチェーンが直面するセキュリティの課題はより複雑で多様です。これには、51% 攻撃、スマートコントラクトの脆弱性の悪用、クロスチェーンブリッジ攻撃などが含まれます。
ノードのセキュリティの面では、アライアンスチェーンのノード数は少なく、通常は数社の信頼できる関係者によって維持され、高い信頼基盤を持っていますが、同時に高い単一障害点のリスクも伴います。性能を向上させるために、アライアンスチェーンは効率的なコンセンサス機構（PBFT、Raft など）を多く採用し、部分的に分散化を犠牲にしています。これに対して、パブリックチェーンはノードが広範に分布しており、分散化の程度が高いため、悪意のあるノードの行動に対抗するためにコンセンサス機構に依存しています。パブリックチェーンは通常、より高い分散化の程度を持ちながらも、性能が低いコンセンサス機構（PoW、PoS など）を採用し、検閲耐性とシステムのオープン性を強化しています。
コンプライアンスのニーズに関しては、アライアンスチェーンは通常、企業向けのシナリオで使用されるため、厳格な法律や規制、コンプライアンス要件を満たす必要があります。設計時には、監査や規制のニーズを十分に考慮する必要があります。これに対して、パブリックチェーンの運用範囲はよりグローバルであり、国を越えた法律や規制の課題に直面し、セキュリティ設計において分散化と効率のバランスを取る必要があります。
これら二種類のチェーンの特徴に基づき、SlowMist はそれぞれが直面するセキュリティの課題に対応するための差別化されたセキュリティソリューションを提供しています。

03

セキュリティ業界について
🌃 Starlabs Consulting：Web3 セキュリティの分野はまだブルーオーシャンですか？もしスタートアップ企業がこの分野に参入したい場合、または Web2 セキュリティ会社が Web3 セキュリティビジネスに拡大したい場合、どの細分野により多くの機会があると考えますか？
SlowMist： Web3 の爆発的な成長は、多くの新しいプロジェクトとユーザーをもたらしましたが、セキュリティインシデントが頻発しており、市場は専門的なセキュリティサービスの需要が継続的に増加しています。同時に、ますます多くのプロジェクトがセキュリティとコンプライアンスの統合を重視し始めており、これも専門的なセキュリティサービス会社にとっての切り口を提供しています。例えば、一般ユーザーはフィッシング攻撃、悪意のあるソフトウェア、秘密鍵管理の不適切さにより資産を失うことが多いため、ユーザー側のセキュリティは考慮すべき点です。また、オンチェーンの資金追跡は複雑で作業量が膨大であり、マネーロンダリングのニーズが高まっているため、資金追跡とマネーロンダリング防止（AML）の方向に進むこともできます。全体的に見て、Web3 セキュリティの分野は挑戦に満ちていますが、同時に巨大な機会も秘めています。
🌃 Starlabs Consulting：量子コンピュータ技術が既存の暗号アルゴリズムに与える潜在的な脅威をどのように評価し、将来の暗号分野でどのような対策を講じることができますか？
SlowMist： 現在、量子コンピュータの脅威は完全には顕在化していませんが、Web3 およびブロックチェーン分野では、量子コンピュータ技術は暗号アルゴリズムの安全性に高度に依存しています。暗号分野は、技術革新、国際協力、段階的な戦略の実施を通じて、エコシステムの長期的な安全性と健全な発展を確保することができます。