ブルートフォースを諦めた攻撃者｜取引所BTCが鍵ごと狙われる構造

あなたのビットコインが盗まれるとしたら、どんな手口で盗まれると思うだろうか。高性能なコンピュータで暗号を解読される、というイメージを持っている人は少なくない。だがその想像は、攻撃者の実際の行動とはかけ離れている。

物理法則が封じるブルートフォース

ビットコインの秘密鍵は256ビット、2の256乗通りの組み合わせを持つ。この大きさを実感するために、物理学の話をしよう。

「ランダウアーの原理」という法則がある。情報を処理するには必ずエネルギーが必要で、一回の論理演算にも最小限のエネルギーが伴うという原理だ。2の256乗回の計算に必要なエネルギーを積み上げると、太陽が1兆個存在したとしても、そのすべてのエネルギーでは到底足りない。

ブルートフォース攻撃は「難しい」ではなく、「物理的に不可能」だ。時間や計算能力の問題ではない。エネルギーの問題だ。ビットコインは、熱力学の法則そのものを盾にしている。

攻撃者が選ぶ経路は数学の外にある

この事実を知った上で、合理的な攻撃者はどう行動するか。物理法則の壁には挑まない。その壁の横にある「人間の扉」を叩く。

攻撃の経済学を考えてほしい。256ビットの解読に必要なエネルギーは物理的に存在しない。一方でフィッシングメールのコストはほぼゼロだ。APIキーを窃取するマルウェアの開発は、技術者であれば短期間でできる。内部不正者を探して報酬を渡す費用も、数百万円の単位に収まりうる。

2019年5月、Binanceが大規模な攻撃を受けた。流出したのは7,000BTC超、当時の価値で約4,000万ドルだ。攻撃者が使った手口はフィッシング、マルウェア、そしてAPIキーの窃取だった。256ビットの暗号に、攻撃者は一切触れていない。盗まれたのは暗号そのものではなく、暗号を操作する権限だった。

集中するほど価値が上がる標的

攻撃者の視点で見ると、取引所は理想的なターゲットになる。

何十万人もの顧客の資産が、管理者の鍵一つに集約されている。一度の侵入で到達できる価値が、個人のウォレットとは桁違いに大きい。取引所の利用者が増えるほど、その集約される価値は膨らむ。つまり大きく信頼された取引所ほど、攻撃者にとって魅力的な標的になるという逆説が生まれる。

取引所のシステムが侵害されたとき、出金が止まり、資産の扱いが取引所の判断に委ねられる。自分の秘密鍵を持っていない状態では、自分で動ける手段がない。256ビットの要塞の存在とは無関係に、取引所の対応力がすべてを左右する。

鍵を自分で持つことが守りの意味を変える

秘密鍵の在処について、一つの問いを持ってほしい。あなたのビットコインを引き出す権限は、今誰が持っているか。

取引所に預けた状態では、秘密鍵を操作する権限は取引所が保持している。取引所の管理システムが突破された場合、256ビットの暗号はあなたを守らない。取引所を守っていた鍵が攻撃者の手に渡るからだ。

ハードウォレットで自己管理すると、状況は根本的に変わる。攻撃者があなたのビットコインを狙うには、あなたという個人を直接の標的にしなければならない。一度の攻撃で得られる価値は一人分に限られる。取引所への大規模攻撃と比べると、攻撃の経済合理性が大幅に下がる。

256ビットの要塞は、鍵を自分の手で持つ人間にだけ機能する。秘密鍵が取引所の管理下にある間、その要塞があなたのために働くことはない。ビットコインを長期保有するなら、秘密鍵の在処を確認することが最初の一歩になる。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。