今週の注目トピック
Tomoaki Kitaokaより
今週はまずMastercardのグラントを得て執筆され、さらにEuroS&Pにて採択された顔認証技術に関するBiometric Backdoorsの論文をピックアップし、顔認証成功時に生体認証テンプレートが更新されることを利用した攻撃を紹介します。次にACM CCS 2020に採択されたブロックチェーンに対するDoS攻撃に関する論文をピックアップし、マイナーがマイニングするインセンティブを低下させ、ネットワークを停止させるというブロックチェーンならではのDoS攻撃についての解説を行います。最後に、Baseline ProtocolとChainlinkを活用したビジネスユースケースについての記事をピックアップし、より信頼性の高いデータを用いたマルチパーティのビジネス自動化について、例を交えながら解説します。リスト編と合わせてご覧ください。
Section1: PickUp
●EuroS&Pに顔認証技術に関するBiometric Backdoorsの論文が採択
9月7日〜11日にかけて開催されていたEuroS&P2020からオックスフォード大学のGiulio Lovisottoらによる「Biometric Backdoors: A Poisoning Attack Against Unsupervised Template」を紹介する。本論文はMastercardのグラントを得て執筆されたものであり、クレジットカードの国際ブランド大手が一助を担っている点からも注目した。
生体認証は、不便なパスワードポリシーを回避でき、パスワード認証の負担軽減が期待できる。一方で、生体認証情報の漏洩は、永続的に生体認証特性の機密性を侵害する可能性があり、Face IDでは生体認証に利用するテンプレートをSecure Enclaveによって保護している。
本論文は、セキュア領域に格納された生体認証テンプレートを改ざんするのではなく、顔認証が成功時に生体認証テンプレートが更新されることを利用する。Face IDのような顔認証技術では、deep convolutional neural networksを用いて、ユーザー本人の特徴を学習する。さらに認証時のポーズや年齢の変化を考慮し、認証に成功した場合、生体認証テンプレートを更新する設計になっている。
本論文の攻撃は、更新後の判別境界を徐々に攻撃者の都合の良いものに変えていくコンセプトだ。ユーザーが不便に感じない範囲で判別境界を変化させた結果、70%のケースにおいて10回未満のインジェクションで攻撃に成功している。
(論文Figure 2より)
また本論文では、上述の攻撃への対策も提案している。判別境界を変化させるためにインジェクションするサンプルの規則性を、コサイン類似度を用いて判別する方法だ。2回以上のインジェクションに対し、99%以上の攻撃を検出している。
9月15日、金融庁は「スマホ決済等のサービスを利用した不正出金に関する注意喚起」として、資金移動業者へ「認証手続の強化」を要請した。eKYC等で利用される顔認証技術の原理や脅威といった観点からも興味深い論文だ。(文責・恩田)
●ACM CCS 2020にブロックチェーンに対するDoS攻撃に関する論文が採択
11月の9日〜13日にかけて開催される予定のACM CCS 2020からブロックチェーン特有のDenial-of-Service(DoS)攻撃に関する論文をピックアップする。PoWのブロックチェーンには51%攻撃以外にも様々な攻撃が存在しており、本論文はその中でも特に興味深いものであるためピックアップする。
これまでDoS攻撃は少数のサーバーに対するものが常識とされ、ブロックチェーンのような分散したネットワークに対してはDoS攻撃は難しいとされてきた。しかし、本論文はマイナーのインセンティブ設計に攻撃を仕掛けることで、マイナーがマイニングを停止することを誘発し、DoS攻撃を仕掛けることが可能であると主張している。具体的には、2019年2月のビットコインの場合、ネットワーク全体の17%のハッシュパワーを得ることでDoS攻撃を仕掛け、ネットワークを停止させることが可能であるという結果を得たと述べており、PoW系のブロックチェーンに対して少ないリソースでDoS攻撃が仕掛けられることを示した。
攻撃の概要としては、攻撃者がブロック生成後、ブロックをネットワークにブロードキャストするのではなく、ブロックのHeaderのみをブロードキャストするというものだ。この時、新規ブロックのHeaderを受け取ったノードには以下の3つの選択肢がある。1) フォークして新しいブロックを作ることを試みる、2) 受け取ったHeaderのブロックに続くブロックの生成を試みる、3) マイニングしない。ただし、攻撃者以外のノードは自分の利益が最大化するように合理的に行動するものとする。
(引用:https://medium.com/coinmonks/bdos-blockchain-denial-of-service-385c8c56b401 )
1) の場合、マイナーはブロック1つ遅れながらも最長チェーンになるようにブロックを作る必要があり、コストが大きい。2) の場合、受け取ったHeaderのブロックそのものが攻撃者から得られる保証はなく、攻撃者がブロックのトランザクションデータなどを隠す恐れがある。3) の場合、マイニングを停止するためコストはかからない。
2) は受け取ったブロックがinvalidである可能性があり、マイナーにとっては完全に信用できるものではない。したがって、1)においてマイニングによる期待利得と必要となる電気代から1) を実行するか3) を実行するか判断することになる。本論文は2019年2月のビットコインの場合、攻撃者がネットワーク全体の17%のハッシュパワーを得た場合、マイナーの1) を行うインセンティブが低下し、3) のマイニングを停止する方が利益を最大化すると述べている。
また、3)によってマイニングを停止したマイナーは、十分な利益を得られないと判断し、他のブロックチェーンのマイナーに流出してしまいまう可能性がある。これはネットワーク全体のハッシュパワーが低下するのでDoS攻撃をしやすい環境に近づき、さらに望ましくないシナリオとなる。
本論文ではEthereumのように報酬の与える方法をメインチェーン以外のブロックの採掘者にも付与するように工夫することで攻撃が緩和されることも言及しており、フューチャーワークとしている。今後の研究にも引き続き注目が集まる。(文責・北岡)
●Baseline ProtocolとChainlinkを活用したビジネスユースケース
Baseline Protocolは、Ethereumを不変のデータストアとして用いて、ERPシステムのような企業のバックエンドシステムを複数企業間で同期させるためのプロトコルである。Chainlinkは、検証されたオフチェーンデータをオンチェーンに配信するプロトコルである。Baseline ProtocolがChainlinkと統合することで、複数企業間でビジネスプロセスとデータベースを同期させるための新しいデザインパターンを構築できる。
例えば、天候データが必要な発注がある。バナナは一定の温度より高い気温に晒されると、品質の劣化が起きる。小売業者は、品質が損なわれたのに代金を全額支払うリスクを防ぐために、バナナが出荷されてからの状態を追跡し、気温の変化に応じて支払う代金が変わるロジックが発注に組み込まれている。具体的には「気温が摂氏13度を超えたら一房あたり0.48ドル、そうでなければ一房あたり0.55ドル」のように決められている。
バナナが外気に晒される時(コンテナへの積み込みなど)の天候を追跡するために、3つの気象衛星のデータソース(NASA、NOAA、OpenWeatherMap)の平均値をChainlinkのオラクルが配信する。当事者間の決済時は、全ての取引相手にバナナが晒された同じ気温データを持っている暗号学的証明がBaseline Protocolにより共有されているため、気温データの記録を手動で照合する必要がなくなる。これにより、問題発生時の企業間紛争のオーバヘッドを削減できる。
この例のように、Baseline ProtocolがChainlinkと統合することで、より信頼性の高いデータを用いたマルチパーティのビジネス自動化が実現可能になる。Baseline Protocolに関しては、先日Accenture社が新しくスポンサーになることを発表しており、今後ますますパブリックチェーンのエンタープライズ利用の検討が進むと期待できる。(文責・岡南)
Section2: ListUp
1. Bitcoin
●DoS攻撃を可能にする脆弱性CVE-2018-17145とBitcoin Coreの脆弱性の内容と対応
●MicroStrategy社はなぜビットコインを440億円分買ったのか【インタビュー要点和訳】
●Messariによる「MicroStrategy's Bitcoin Investment Thesis」
2. Ethereum
●Ethereum2.0 Phase0の最小限実装スペックを示すEIP2982
3. Smart Contract・Oracle
●Baseline Protocol、Chainlinkとのインテグレーションをサポートする旨を発表。パブリックブロックチェーンの企業むけアダプションへの一歩に
●Accentureが、Baseline Protocol や Ethereum OASIS Open Projectのスポンサーに
4. DeFi
●DEXの取引高に占めるAMM(Uniswapなど)の比率、先月5%だったものが90%に
●Uniswapのガバナンストークン「UNI」の解説記事(その1)(その2)
●光のDeFi、闇のDeFi 1週間で14億円を手にした”寿司”スワップの芸術的手法(要約)
5. Enterprise Blockchain Infrastructure
●サプライチェーン・ファイナンスってなに??. ブロックチェーンで製造業を支える金融ソリューション on Corda —前編
●Deep Tier Financing ブロックチェーンで製造業を支える金融ソリューション on Corda — 後編 —
6. Other Chain
●Digital Asset、DAMLを中国BSN向けの標準スマートコントラクト言語とすることで調印
7. China Tech
●中国Blockchain Service Network (BSN)、福建省のデジタル福建プログラムの一環で利用へ
8. Digital Identity
9. 統計・論考
●PwCとCV VCによるGlobal Report。クリプトバンクやカストディ、マーケットメイカー、トークン保険などについて
●Stop Burning Tokens – Buyback and Make Instead — Placeholder(訳)
10. 注目イベント
●筑波大学のブロックチェーンセキュリティ研究会(9/25, オンライン開催)
●ACM Advances in Financial Technologies – AFT 2020(10/21-10/23 at New York)
●戦略的イノベーション創造プログラム(SIP)による「IoT社会に対応したサイバー・フィジカル・セキュリティONLINEシンポジウム〜 Withコロナの世界を支えるセキュアなIoTサプライチェーン基盤」(11/6, オンライン開催)
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.