Web3のマスアダプション(大衆化)に向けた動きが加速しています。実際に、大企業を始めとして多くの組織がマス層に向けたWeb3サービスの開発に着手し始めました。
ただ、Web3は革新的な技術である一方で、詐欺やハッキングといったセキュリティ上の課題も山積しています。現にDeFiやNFTなどのサービスでは、毎日のようにハッキングの被害が発生しています。マス層向けのコンテンツで同様の被害が頻発してしまうと、事業者の信用問題に関わる事態にまで発展しかねません。そこで、Web3サービスの開発段階からセキュリティ対策に力を入れる必要があります。とはいえ、現状ではマス層向けのWeb3コンテンツが普及していないため、セキュリティ被害に関する情報をほとんど見かけません。そこでこの記事では、Web3サービスにおいて起こりうるセキュリティ上のリスクをまとめました。注意すべきポイントを意識し、自社のサービス開発に活かしてください。
この記事の構成
セキュリティ面において留意すべき点
マス層向けのWeb3サービスは、それほど世の中に浸透していません。そのため、一般のユーザーを巻き込むような大規模なセキュリティ事案もほとんど見かけない状態です。とはいえ、自社でマス層向けのWeb3サービスを提供するにあたっては、リスク要因をできる限り排除しなければなりません。
ここでは、Web3サービスを開発する際に注意すべきポイントを紹介します。
スマートコントラクトのバグによるリスク
ハッカーは、あらゆる手段を使ってスマートコントラクトの脆弱性を攻撃してきます。よって自社でWeb3サービスを設計する際は、スマートコントラクトのバグがないかを慎重に探さなければなりません。
実際に過去には、多くのDeFiプロジェクトがスマートコントラクトの欠陥を攻撃されたことで、金銭的な被害を被ってきました。もし、このようなバグに起因したトラブルが発生すると、サービスの安全性に対する不信を招きユーザーが離れていってしまいます。
とはいえ、自社の開発チームだけですべてのバグを検証するのは現実的ではありません。そのような場合には、社外の第三者機関を活用しましょう。Web3業界には、スマートコントラクトの監査サービスを提供する企業が存在します。これらのサービスでは、社外のプログラマーによる客観的な立場からの検証を受けられるため、リスクの低減が可能です。
クロスチェーン化によるリスク
クロスチェーン化とは、異なるブロックチェーン間で暗号資産(仮想通貨)やNFTを融通できる仕組みです。このクロスチェーン化を自社のサービスで採用した場合、セキュリティ上のリスクが上昇します。
クロスチェーン化によって複数のエコシステムと連携させた場合、より多くのユーザーを自社のサービスへと誘導できます。加えて、ユーザーにとって利便性が向上する面もあるでしょう。ただ、異なるブロックチェーン同士を接続すると、設計が複雑になりバグも発生しやすくなります。このクロスチェーン化について、イーサリアムの創始者であるVitalik Buterin氏も警鐘を鳴らしています。よって、安易にクロスチェーン化せず、単一のブロックチェーンに専念した方が安全性を担保できるでしょう。
Botアカウントが大量発生するリスク
「Play to Earn(※)」型サービスの場合、金銭的な利益のみを目的としたユーザーによって、大量のBotアカウントが投入される恐れもあります。これらのBotアカウントによって自社のサービスが占拠されてしまうと、自社の収益性を圧迫するばかりか、ユーザーの満足度も低下しかねません。
「稼げる」という触れ込みで自社サービスをアピールすると、拝金主義的なユーザーばかりが集まってきます。これらのユーザーの中には、トークンを得るためにBotアカウントを投入し出す者も。このような流れを経てBotアカウントばかりが増えると、自社のシステムに余計な負荷をかけてしまいます。
そこで、Web3コンテンツを開発する際は、投機性を抑える工夫が必要です。例えば、コンテンツから得られる収益性をコントロールしたり、一日あたりのプレイ時間を制限したりといった措置が考えられます。コンテンツ内における投機性を下げれば、ユーザーにとってBotアカウントを投入するインセンティブがなくなります。
健全なサービス環境を維持するためには、「稼げるか否か」ではなくコンテンツ自体の魅力だけを追求すべきです。
※ Play to Earn・・・ゲームの成績に応じて、プレイヤーにトークンが配布される仕組み。ゲームによって金銭的な利益を得られるとして、2021年頃から注目を集めた。この他に、特定のアクションによってトークンを稼げる「Play to X」のサービスも登場している。
犯罪の温床として悪用されるリスク
自社のWeb3プラットフォームが、犯罪組織によって悪用される恐れもあります。特に注意すべきは、Web3サービスを介したマネーロンダリングです。ただ、暗号資産のマネーロンダリングに関しては、一般の事業者がそれほど心配する必要はありません。なぜなら日本の法令では、暗号資産交換業の認可を受けた取引所しか参入できない仕組みになっているためです。当然、暗号資産交換業の認可を受けた取引所では、マネーロンダリングを未然に防ぐ対策が取られています。
その一方でNFT取引に関しては、暗号資産ほど厳格な規制が存在しません。つまり、一般事業者でもNFTを扱う機会があるため、マネーロンダリングには注意が必要です。自社サービスの運営にあたっては、マネーロンダリングの兆候がないかを常にチェックしましょう。
また、マネーロンダリングを防ぐ上で、楽天NFTやLINE NFTなど企業運営のNFTマーケットを採用する選択肢もあります。これらのNFTマーケットではユーザー登録が必須であるため、犯罪者の排除が可能です。加えて、取引のほとんどが日本国内で発生するため、国境をまたいだ不正送金も阻止できます。
このように、自社のWeb3サービスが犯罪の温床にならないような対策が必要です。
なりすまし行為によるリスク
悪意を持った第三者が自社のNFTを無断でコピーし、マーケットで販売するリスクもあります。このコピー品をユーザーが誤って購入すると、自社の顧客に金銭的な被害が生じてしまいます。
これらのなりすまし行為を防止するため、事業者は積極的に注意喚起をしなければなりません。同時に、コピー品が市場に出回っているかを定期的にチェックする必要があります。
また、よりリスクを低減させたいのであれば、楽天NFTやLINE NFTなどクローズドなNFTマーケットが安心です。企業が運営するNFTマーケットの場合、NFTの出品にあたって審査が必要です。よって、違法なコピー品がマーケットに放出される恐れはありません。このような理由から、なりすます行為を防ぐ上でクローズドなNFTマーケットの活用も有効です。
秘密鍵の管理に関するリスク
自社で暗号資産やNFTを管理する場合には、秘密鍵の厳重な管理が欠かせません。この秘密鍵が流出すると、サービス運営に必要な資産を失ってしまうためです。そこでセキュリティ性能を向上させる手段として、以下に挙げる2つの対策が効果を発揮します。
1つ目は、マルチシグの活用です。マルチシグとは、複数の秘密鍵によって暗号資産ウォレット内の財産を守る仕組みです。例えば、マルチシグで3つの秘密鍵を設定すると、トランザクションの実行には過半数である2つの秘密鍵が必要となります。よって、仮に1つの秘密鍵をハッカーに奪われたとしても、資産を奪われる恐れはありません。それぞれの秘密鍵は別々の場所に保管できるため、セキュリティ性能が向上します。
2つ目の対策が、コールドウォレットの採用です。コールドウォレットでは、オンライン上から切り離された状態で秘密鍵が保管されます。ハッキングによる秘密鍵の漏洩リスクを低減できるため、セキュリティを高める上で欠かせない製品です。
Web3サービスを提供する事業者は、ハッカーから直接狙われる危険性もあります。仮に攻撃を受けた場合でも資産を流出させないように、コールドウォレットを導入しましょう。
フィッシング詐欺
フィッシング詐欺とは、ユーザーを偽のウェブサイトに誘導して資産を奪い取る犯罪です。
一般的に、運営者を名乗る偽のSNSアカウントから連絡が届き、不正なトランザクションへの署名を要求してきます。
フィッシング詐欺の場合、犯罪者からユーザーに対して直接攻撃が行われます。よって、事業者側は未然に阻止できません。しかし、実際にユーザー側で被害が発生してしまうと、自社サービスに対するネガティブな印象を残してしまいます。そこで普段からSNSをチェックしユーザーに対して注意喚起するなど、できる限りの対策が必要です。
また、フィッシング詐欺のターゲットは、ユーザーだけではありません。過去には、暗号資産取引所の社員がフィッシング詐欺に引っかかった事例もあります。よって、自社の社員に対しても「安易に不審なURLを開かない」などのリスクの周知をしましょう。
DAOの乗っ取りリスク
自社でDAOコミュニティを運営する際は、悪意を持った第三者による乗っ取りに気をつけなれければなりません。
自社サービスに関するDAOコミュニティを形成すると、ユーザーもプロジェクトの意思決定に参加できます。例えば、ユーザーに対してガバナンストークンを発行すると、トークンの保有数量に応じて議決権を付与できます。要するにDAOの仕組みを導入すれば、ユーザーを巻き込んだプロジェクト運営も可能です。
ただ、意思決定権を第三者に委ね過ぎると、悪意を持ったユーザーがDAOを乗っ取ろうと画策するかもしれません。特にDAOがトレジャリー(資産)を保有している場合には、悪意を持ったDAOメンバーから狙われやすくなります。
Web3サービスの発展に関心を持たないユーザーが過半数を占めた場合、健全なコミュニティ運営は不可能です。このため、議決権行使の際のルールに特別条項を設定したり、運営者も一定のガバナンストークンを保有したりといった対策が求められます。この他にも、DAOの初期メンバーは優良顧客のみを選定するなどの工夫が必要です。
Web3分野でセキュリティサービスを提供している企業
自社だけですべてのリスクに対応するのは、現実的ではありません。そこで、Web3向けのセキュリティサービスを提供している企業との提携が有効です。これらの企業は特定のリスクに特化したソリューションを展開しているため、自社サービスへの組み込みによって、セキュリティリスクを低減できます。ここでは、Web3のセキュリティサービスを提供している企業を紹介します。
モノバンドル株式会社
モノバンドル株式会社は、日本のWeb3スタートアップです。このモノバンドルでは、Web3のコード監査サービス「Superaudit」を提供しています。
Superauditでは、DeFiやNFTサービスなどのスマートコントラクト監査が可能です。監査で認証された暁にはNFTによって証明書が発行されるため、対外的にも監査の完了を証明できます。
株式会社KEKKAI
株式会社KEKKAIは、Web3セキュリティを専門とする日本のスタートアップです。KEKKAIでは、暗号資産ウォレット向けのセキュリティプラグイン「KEKKAI」を提供しています。
一般的な暗号資産ウォレットでは、トランザクションを実行する際に専門用語ばかりが並びます。そのため、スマートコントラクトの内容を把握できません。これに対して、KEKKAIのプラグインを導入した場合、取引の内容が誰にでも分かる形で可視化されます。加えて、リスクの高いトランザクションを実行する場面では、ユーザーに対して警告が発せられます。
このように、KEKKAIプラグインはフィッシング詐欺の被害を防止する上で有効な対策の一つです。
Ledger SAS
Ledger SASは、コールドウォレットを扱う有名な企業です。
このLedger SASが提供する事業者向けのセキュリティサービスが、「Ledger Enterprise」です。コールドウォレットだけでなく、セキュリティ監視ソフトや損害保険を組み合わせたサービスであり、事業者のWeb3事業を支援します。
Ledger Enterpriseは、自社で暗号資産やトークンを保有する場合に有効なサービスです。よって、暗号資産取引所やNFTマーケットプレイスにおいて、広く採用されています。
ChainSecurity
ChainSecurityは、スマートコントラクト監査を手掛けるスイスの企業です。
イーサリアム上で構築されたDapps(分散型アプリ)の監査を得意としており、過去には以下の有名DeFiプロジェクトの監査を担当した実績があります。
- MakerDAO Liquidations 2.0
- Curve Finance Tricrypto
- Compound III
他にも、ChainSecurityはWeb3業界における大型プロジェクトに携わっており、セキュリティの分野で大きな存在感を放っています。
Web3サービスにおけるセキュリティ対策のまとめ
本記事では、Web3サービスを提供する際のセキュリティ上の注意点について解説しました。最後に、不正行為を防ぐ上で重要なポイントをまとめます。
- セキュリティリスクは常に存在するため、常日頃から警戒しなければならない
- セキュリティを高める上では、企業が運営するプライベートブロックチェーンも有効である
- Web3向けのセキュリティサービスを提供する企業も存在するため、これらの企業との提携も検討すべきである
自社の提供するWeb3サービスでトラブルが発生すると、企業のブランドイメージにも大きな傷がつきます。そのため、サービスの開発段階から十分にセキュリティ対策に力を入れなければなりません。今回の記事で紹介したポイントに留意し、自社サービスのセキュリティ対策を見直してみましょう。