開発者らによると、Android 上のビットコインウォレットは、安全な乱数を生成するコンポーネントに問題があるため、盗難に対して脆弱である。
この問題は Android オペレーティング システムにあると言われており、Android アプリによって生成されたビットコイン ウォレットに影響するとのこと。
Bitcoin.orgの開発者は日曜日の投稿で、ユーザーが秘密鍵を管理していないアプリは影響を受けないと述べている。例えば、CoinbaseやMt. Goxのような取引所のフロントエンドアプリは、秘密鍵がユーザーのAndroidスマートフォン上で生成されないため、この問題の影響を受けない。
アダム・クロウビットコインは公開鍵暗号方式を採用しており、各アドレスはウォレットに保管されている数学的にリンクされた公開鍵と秘密鍵のペアに関連付けられています。ユーザーは秘密鍵を使ってビットコインを他のユーザーに送金するトランザクションに署名し、その署名は公開鍵を使って検証されます。
「安全な乱数を生成する役割を担うAndroidのコンポーネントに重大な脆弱性があり、これまでに生成されたすべてのAndroidウォレットが盗難に対して脆弱であることが判明しました」と開発者らは書いている。
ビットコイン開発者フォーラムのアラートで、ソフトウェア開発者のマイク・ハーン氏は、JavaのSecureRandomクラスのAndroid実装に複数の深刻な脆弱性が含まれていると報告しました。「その結果、Androidスマートフォン/タブレットで生成されるすべての秘密鍵が脆弱になり、一部の署名でR値が衝突することが確認されています。これにより、秘密鍵が解読され、金銭が盗まれる可能性があります」とハーン氏は付け加えました。
Bitcoin.orgの開発者によると、Bitcoin Wallet、BitcoinSpinner、Mycelium Wallet、Blockchain.infoなど、影響を受けるウォレットの一部は、問題を解決するアップデートを準備するさまざまな段階にあるという。
予防策を講じる
開発者は、修正された乱数生成器を使用して新しいアドレスを生成し、ウォレット内の全資金を自身に送金することをユーザーに推奨しています。投稿には、「Androidウォレットをご利用の場合は、Playストアで最新バージョンがリリースされ次第、すぐにアップグレードすることを強くお勧めします」と記載されています。「ウォレットのキーローテーションが完了したら、お使いの携帯電話で生成されたアドレスを保存しているユーザーに連絡し、新しいアドレスを渡す必要があります。」Bitcoin Walletのキーローテーションは、ユーザーがアップグレードするとすぐに自動的に行われ、古いアドレスはアドレス帳で安全でないものとしてマークされます。
ピアツーピアのソフトウェアを使用して世界中に転送できる仮想通貨は、米国を含め規制を求める動きに直面している。例えば、米国財務省の金融犯罪取締ネットワークは3月に、ビットコイン取引所と管理者はマネーサービス企業(MSB)であり、マネーロンダリング防止規制に従わなければならないとの判決を下した。
ウォール・ストリート・ジャーナル紙が関係筋の話として報じたところによると、ニューヨーク州金融サービス局は、仮想通貨業界への捜査の一環として、ビットコイン関連企業約24社に召喚状を出した。同紙によると、これらの企業による州の資金移動法の不遵守に関する懸念を伝える覚書が月曜日に提出される見込みだという。
