ブロックチェーンはサイバー犯罪を防止できるか？

クレイジーな解説: ネットワーク セキュリティの抜け穴により、銀行は莫大な損失を被りました。バングラデシュ銀行とエクアドル銀行はともに、こうしたセキュリティの抜け穴の被害者となっている。明らかに、この悲劇的な事実は、SWIFT などの従来のセキュリティ ネットワークが、ますます高度化する技術的な犯罪手法に対処できないことを証明しています。ブロックチェーンと分散型台帳技術の出現により、銀行の資金のセキュリティに対する最新かつ最も完全な技術的サポートが提供されます。現時点では、この技術が既存のセキュリティ システムを完全に置き換えることができると断言することはできませんが、少なくとも既存のシステムと組み合わせることで、現在のハッカー攻撃に対抗するには十分です。サイバーセキュリティ侵害は銀行に多大な損失をもたらしており、バングラデシュ銀行とエクアドル銀行の両行がこれらのセキュリティ侵害の被害者となっている。明らかに、この悲劇的な事実は、SWIFT などの従来のセキュリティ ネットワークが、ますます高度化する技術的な犯罪手法に対処できないことを証明しています。ブロックチェーンと分散型台帳技術の出現により、銀行の資金のセキュリティに対する最新かつ最も完全な技術的サポートが提供されます。現時点では、この技術が既存のセキュリティ システムを完全に置き換えることができると断言することはできませんが、少なくとも既存のシステムと組み合わせることで、現在のハッカー攻撃に対抗するには十分です。

翻訳: Annie_Xu

ブロックチェーンと分散型台帳技術は、世界の重要な金融システムを攻撃から守ることができるのでしょうか?

銀行は、コードと識別子で構成された標準の電子メッセージ、つまり世界共通の金融言語を使用して、国際決済や送金を行います。法的要求事項を満たし、参加者を検証し、違反を検出し、疑わしい点や異常な点を防ぐために、多くの監査方法、さまざまなフォーム、さまざまなプロセス、ポリシー、規制が設定されています。取引を実行する前に、ブラックリストや政府の制裁リストに載っている個人やグループなど、さまざまな特別なデータベースを確認する必要があります。取引には数千億ドルが関わっていることを考えれば、これほど多くの規制が敷かれているのも不思議ではない。

しかし、多くの金融手段があり、バックエンドで資金の流れを監視する人がたくさんいるにもかかわらず、ハッカーは時々資金を盗むことに成功しています。

今年の初めに盗難事件が多発しました。ハッカーがニューヨーク連邦準備銀行の口座を悪用し、バングラデシュの中央銀行であるバングラデシュ銀行の口座から約8100万ドルが失われた。ハッカーらは10億ドルを盗む計画を立てていたが、ニューヨーク連銀はほんの少しの幸運で防護網を張り巡らせ、資金の大半が失われるのを防ぐことができた。

これが起こったことです。

盗難

この事件はまだ捜査中だが、関係者全員が責任逃れに全力を尽くしている。ニューヨーク連銀は、ほとんどの不正な要求を検出し拒否していると述べている。サイバー犯罪者はバングラデシュ銀行を装い、ニューヨーク連銀に合計35件のメッセージを送信した。総額は10億ドルに上るが、承認された要求はわずか数件だった。ニューヨーク連銀の1日当たりの国際送金額8000億ドルと比較すると、5800ドルは比較的控えめな額に思える。

しかしバングラデシュ銀行は、送金依頼の頻度が疑わしいとし、ニューヨーク連銀は詐欺行為を完全に止めるべきだったと述べた。なぜなら、昨年、バングラデシュ銀行は機関への送金をほぼ月に2回申請していたが、今回は1年間で個人への送金35件の要請だったからだ。

さらに、銀行所有のSWIFTも、通信プロトコル、ソフトウェアとハ​​ードウェア、セキュリティネットワークの管理を担当しているため、批判にさらされている。同局は、約1万の銀行や企業からの1日2,500万件の通信を処理している。批評家は、SWIFT はネットワークのセキュリティ向上にほとんど取り組んでおらず、ネットワーク通信セキュリティ技術にもっと投資すべきだったと指摘している。

バングラデシュ銀行には多くの問題があります。銀行のシステムが侵入されたのは、セキュリティ管理が不十分だったためだと一部では言われている。ハッカーたちは攻撃を開始する1か月前にマルウェアの展開を完了しており、計画と準備に十分な時間があった。銀行職員はオンラインでの取引を監視しておらず、システム通信を確認する唯一の方法は、SWIFT ネットワークで受信したメッセージを印刷することです。ハッカーは印刷機能を無効にし、銀行はニューヨーク連銀と詐欺師の情報を入手した翌日にこれを修正した。

そして、この攻撃のタイミングは非常に正確でした。ハッカーらは木曜日に不正メッセージを送信し、ニューヨーク連銀が対応した時点ではバングラデシュ銀行は金曜日と土曜日は休業していた。銀行が印刷機能を修復し、不正な情報を発見した時には、ニューヨークでは週末になっていた。最終的にニューヨーク連銀が詐欺行為を発見し、送金を止めようとしたが、送金先のフィリピンは実は春節を祝っていた。

それは完全な偶然だった

10億ドルの送金を要求する当初の35通のメッセージには重要な情報が欠落していたため、ニューヨーク連銀はそれを拒否した。そこでハッカーはすぐにそれを修正し、リクエストを再送信しました。ニューヨーク連銀は今回5件の取引を実行したが、すべては運によるものだと人々は言った。送金先の銀行はフィリピンのジュピター通りにあったが、この通りは米国が制裁を課しているイランの石油タンカーや船舶代理店と同じ名前の通りである。

脆弱なグローバルネットワーク

現実には、グローバル ネットワーク、特に送金に関わるネットワークは、サイバー犯罪者にとって常に主要なターゲットであり、サイバー犯罪者の巧妙さと組織化は新たなレベルに達しています。

そして、これらの犯罪者は多くの資金を持ち、悪党政府の支援さえ受けており、何百万ドルも盗む動機も十分にある。銀行業界のベテランたちはまた、盗難や情報漏洩が起きてもそれを秘密にしようとする文化が業界には常に存在してきたと語る。しかし、脆弱性を発見して修正するためには、オープンで協力的な姿勢をとり、情報を共有し、調査を実施する必要があります。

バングラデシュ銀行強盗事件の犯人はシステムをよく理解しており、最も強力な防御を回避して、国際決済ネットワークの弱い部分を攻撃した。米国のウェルズ・ファーゴを通じてハッカーがエクアドルの銀行から1200万ドルを盗んだ事件も、同じ人物による犯行だった可能性がある。両銀行は現在訴訟中である。

米国のセキュリティソリューション企業シマンテックは、このハッカー集団は2014年にソニー・ピクチャーズを攻撃した集団と同じラザルスであり、北朝鮮政府の支援を受けている可能性があるとみている。

ブロックチェーンと分散型台帳

ブロックチェーンは、分散型仮想通貨システムであるビットコインをサポートするように設計されています。しかし、世界の金融システムは中央集権化されており、政府が発行する法定通貨を使用しています。分散型システムは、信頼できる機関が関与せず、システム内に記述されたロジックとコンセンサスによって決定が行われるため、実際には信頼のないシステムです。

ブロックチェーンは、変更不可能で取り消し不可能な取引履歴の記録であり、これにより所有権を決定し、ビットコイン取引を実行することが可能になります。また、ビットコイン保有者が重複した支払いを行うことも防止します。仮想通貨システム内のノード、つまりコンピューターは、簿記を担当する単一の中央機関ではなく、ビットコインの取引を検証します。ブロックチェーンは、ビットコイン システムが許可不要であり、中央機関からの承認や解決を必要とせず、したがって自律的であることを保証します。

分散型台帳の定義は広範囲にわたります。ブロックチェーン開発者は主にビットコイン システムに使用してきましたが、分散型台帳アーキテクチャはさまざまなシステムをサポートできます。金融サービスにおける分散型台帳システムは、一般的に許可制であるため、自律性が低く、さまざまなレベルの柔軟性と制御を組み合わせることができます。

分散型台帳アーキテクチャはリスク管理を改善できる

分散型台帳に基づく不正防止システムには、不正行為に効果的に対抗するために連携する複数のデータベースがあります。このシステムは、参照および検証のために取引履歴の機密記録を保持しますが、システム内のすべての人に公開されるわけではありません (オープンブロックチェーン取引とは異なります)。また、システムは、取引の送信者と受信者を確認するための認証証明書を保存および更新します。

現在、銀行や金融機関は内部に独自のリスク管理システムを持ち、ブラックリストや制裁リストに関する一般的な情報を参照しています。したがって、個々の銀行は強力なリスク管理システムを開発する必要がありますが、その結果、システムに一貫性がなくなり、リスク管理と運用プロセスが大きく異なることになります。分散型システムは、大手銀行だけでなく、ハイテクなリスク管理システムを持たない小規模銀行も含め、国際市場のすべての企業に役立ちます。

銀行システムには、取引を疑わしい、または不正であると特定する「誤検知」が多数存在することがよくあります。しかし、これらの取引のほとんどは一部の情報が失われただけで、再送信前に修正されました。誤報の割合が高いため、銀行員はそのような警報の危険性を無視し始めています。分散型台帳システムは、中央銀行や大手商業銀行などの主要な利害関係者によって管理できます。 SWIFT などの中央銀行機関がこのようなシステムのニーズを満たしているかどうかについては、長い間論争が続いてきました。実際、ISO 標準形式の分散システムは、主要なプレーヤーによってサポートされた少人数のグループだけで、自律的に、または完全に運用できます。

さまざまな形でのコラボレーション

中央銀行は、分散型台帳システムを使用してネットワークのセキュリティと信頼性を確保しながら、単一の機関がデータ記録を管理するハイブリッドシステムを検討しています。このシステムは、世界、地域、地方、国内など、さまざまなシナリオに適用できるため、複数の国の中央機関が分散型共有システムの追加レイヤーを開発できます。

カスタム分散型台帳に基づく国際送金システムの構築には時間がかかり、多大なコストがかかりますが、秘密鍵の内部競合や脆弱性により、理論上は巧妙に設計されたサイバー攻撃を完全に防ぐことができるシステムは存在しません。しかし、ハイブリッドシステムであれば、不正取引やマネーロンダリング取引を検出し、より迅速に修正することができます。