NFTホワイトペーパー(案)の追加テーマ「NFTとサイバーセキュリティについて」

まえがき

「Web3.0」はインターネットやデジタルの分野における次世代のフロンティアと位置付けられ、日本はアニメやゲームといった国際的競争力を有する豊富かつ上質な知的財産(Intellectual Property、以下「IP」という)を保有しており、NFTビジネス、ひいてはWeb3.0において世界をリードする大きなポテンシャルを秘めていることから、日本にとって大きなチャンスです。そこで私も自民党 NFT政策検討プロジェクトチームを応援したいと思います。

NFTホワイトペーパー(案)Web3.0時代を見据えたわが国のNFT戦略

さて、インターネットやデジタル経済の構造を根底から覆す新たな技術革新の波が押し寄せていることから、Web3.0時代に求められる施策を適切にデザインするための情報収集として多くの有識者や起業家からヒアリングが行われました。

現時点で考えられる打ち手を包括的に提言するもので、以下の6つのテーマに沿って、合計24の論点が課題認識されております。

① Web3.0時代を見据えた国家戦略の策定・推進体制の構築
② NFTビジネス発展に必要な施策
③ コンテンツホルダーの権利保護に必要な施策
④ 利用者保護に必要な施策
⑤ ブロックチェーンエコシステムの健全な育成に必要な施策
⑥ 社会的法益の保護に必要な施策

ここにサイバーセキュリティ関するテーマが必要だと思い、提言に加えさせていただきたいと思います。


NFTとサイバーセキュリティについて

(1) コンテンツデータを格納するWebサーバーの脆弱性対策

ア.問題の所在

以下の問題として取り上げられておりますが、当該データ自体が取引後に 消失したり差し替えられたりするリスクがあるほか、当該ウェブサーバ自体が稼働しなくなりコンテンツ自体へのアクセス手段が失われるリスクは、悪意のあるハッカーやマルウェアによっても引き起こされる懸念がある。

ア.問題の所在
さまざまなコンテンツに関するNFTが発行され販売されているが、ブロックチェーン上にはあくまでNFT自体の取引履歴が記録されるだけであって、それに対応するコンテンツ(イラストや動画等)のデータはブロックチェーン上に保存されるものではない。コンテンツデータは、NFT発行者やNFTの発行サービスを提供する事業者が用意するウェブサーバ等に置かれることが通例である。こうした状況を勘案すると、当該データ自体が取引後に 消失したり差し替えられたりするリスクがあるほか、当該ウェブサーバ自体が稼働しなくなりコンテンツ自体へのアクセス手段が失われるリスクも ある。 これらのリスクが顕在化した場合、参照可能なコンテンツデータを欠くNFTのみが残存する状況となり、当該NFTが実質的に無価値化する懸念がある。

(3)ブロックチェーン上に保存されないコンテンツデータの確実な確保

イ.提言

目下の対応としては、当該リスクが存在することを消費者に説明することが望ましく、事業者が用意するウェブサーバ等について、クラウド・バイ・デフォルト原則を踏まえた安全性評価基準、安全性評価の監査の仕組みを活用して安全性が評価されたクラウドサービスが利用できるように「政府情報システムのためのセキュリティ評価制度」ISMAPまたは同等の第三者評価制度を導入することが考えられる。
また、コンテンツデータの永続性を確保する試みとして、分散型ストレージ(InterPlanetary File System(IPFS)等が知られる。)はProtocol Labsが開発をしており、IPFSはProof-of-Spacetime(PoST)を採用しております。つまり分散型ストレージに必要な金銭的なインセンティブの証明をFileCoinによって実現している、このFileCoinのセキュリティについてはhttps://security.filecoin.io/でコミュニティが運営していることから、安全性をどのように担保すべきか調査し、関係省庁が一定のイニシアチブを発揮するべきである。

参考

(2) スマートコントラクトの脆弱性対策

ア.問題の所在

スマートコントラクトの脆弱性によって不正な取引が成立する可能性がある。例えば攻撃者が販売価格を無視してNFTを任意の価格で購入し、NFTの所有権を不正に移動させることや、不正にコントラクトを繰り返し実行することで、被害者のアカウントから送金を不正に繰り返してしまうリエントランシー攻撃(Re-Entrancy Attack)といったことが考えられる。

参考

「nanakusa」2021 年 9 月 3 日に発生した NFT 流出に関するご報告書

Preventing Re-Entrancy Attacks — Lessons from History

イ.提言

NFT発行者やNFTの発行サービスを提供する事業者が用いるスマートコントラクトのソースコードを静的・動的解析を行い脆弱性が含まれていないことを診断する第三者評価制度を導入することが考えられる。

(3)NFTトークン発行の脆弱性対策

ア.問題の所在

不正にNFTの価格を操作するスキャルピングボットscalping bots)による攻撃によって、トークン発行に際してルールをバイパスしたスマートコントラクトでトークンを購入し当該NFTトークン発行時の価格を不正に操作する懸念がある。例えばNFT発行者がボットを利用して当該NFTに高額な入札を行うことで市場トレンドを形成する、なおボットによる偽の入札はNFT発行者が入札を拒否して、取引が成立しないようにできる。

イ.提言

スキャルピングボットは合法であり抑止することができない。目下の対応としては、当該リスクが存在することを消費者に説明することが望ましい。なお長期的に見るとNFTに対する評判の構築、ユーザーエクスペリエンスは、わが国におけるWeb3.0ビジネスのイノベーション促進に影響を及ぼすため、ルール整備は別途検討を進めるべきであり、関係省庁の見解を踏まえた事業者におけるガイドラインの策定等が行われることが期待される。また日本暗号資産取引業協会(JVCEA)において、これらの点を踏まえ利用者保護に配慮しつつ、JVCEAの事前審査の在り方を見直し、わが国におけるWeb3.0ビジネスのイノベーション促進のため、審査基準の緩和を踏み込んで行うべきである。

参考

How bots exploit NFT sales


結び

仮想通貨取引所の利用者から預かっている仮想通貨が外部からの不正アクセスにより流出したことで業界全体に悪影響を及ぼした(マウントゴックス事件およびNEM流出事件)は記憶に新しく思います。サイバーセキュリティーはWeb2.0時代の成長支え共に成長した産業でした。Web3.0時代はこれらを教訓に活かし、責任あるイノベーションを支えていきたいと思う次第です。

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)