Bitcoin Core 開発者グループは、セキュリティ上重大なバグの公表における過去の欠点に対処するために、包括的なセキュリティ開示ポリシーを導入しました。

この新しいポリシーは、脆弱性を報告および開示するための標準化されたプロセスを確立し、それによってビットコイン エコシステム内の透明性とセキュリティを向上させることを目的としています。

この発表には、これまで公表されていなかったいくつかの脆弱性も含まれています。

セキュリティ開示とは何ですか?

セキュリティ開示とは、セキュリティ研究者や倫理的なハッカーがソフトウェアやシステムで発見した脆弱性を影響を受ける組織に報告するプロセスです。その目的は、悪意のある人物に悪用される前に組織がこれらの脆弱性に対処できるようにすることです。このプロセスには通常、脆弱性の発見、それを内密に報告、その存在の確認、修正の開発、そして最後に脆弱性の詳細と緩和策のアドバイスとともに公開することが含まれます。

ユーザーは心配すべきでしょうか?

最新の Bitcoin Core セキュリティ開示では、さまざまな深刻度の脆弱性が取り上げられています。主な問題には、サービス中断を引き起こす可能性のある複数のサービス拒否 (DoS) 脆弱性、miniUPnPc ライブラリのリモート コード実行 (RCE) 欠陥、検閲や不適切な孤立トランザクション管理につながる可能性のあるトランザクション処理バグ、ネットワーク分割につながるバッファ爆発やタイムスタンプ オーバーフローなどのネットワーク脆弱性などがあります。

これらの脆弱性はいずれも、現時点ではビットコイン ネットワークに重大なリスクをもたらすものではないと考えられています。いずれにしても、ユーザーはソフトウェアを最新の状態に保つことを強くお勧めします。

詳細については、GitHub のコミット「Bitcoin Core セキュリティ開示」を参照してください。

開示プロセスの改善

Bitcoin Core の新しいポリシーでは、脆弱性を低、中、高、重大の 4 つの重大度レベルに分類しています。

  • 重大度が低い: 悪用が困難、または影響が最小限のバグ。これらは、修正がリリースされてから 2 週間後に公開されます。

  • 中および高の重大度: 重大な影響があるか、悪用されやすいバグ。これらは、影響を受ける最後のリリースがサポート終了 (EOL) になってから 1 年後に公開されます。

  • 重大な深刻度: インフレやコイン盗難の脆弱性など、ネットワーク全体の整合性を脅かすバグは、その重大性のため、アドホックな手順で処理されます。

このポリシーは、一貫した追跡と標準化された開示プロセスを提供し、責任ある報告を奨励し、コミュニティが問題に迅速に対処できるようにすることを目的としています。

ビットコインにおけるCVE開示の歴史

ビットコインは長年にわたり、CVE(共通脆弱性識別子)と呼ばれるいくつかの注目すべきセキュリティ問題を経験してきました。これらのインシデントは、用心深いセキュリティ対策とタイムリーなアップデートの重要性を浮き彫りにしています。以下に主な例をいくつか示します。

CVE-2012-2459: この重大なバグにより、攻撃者が有効なブロックに見える無効なブロックを作成できるようになり、ネットワークの問題が発生する可能性があり、Bitcoin ネットワークが一時的に分割される可能性があります。これは Bitcoin Core バージョン 0.6.1 で修正され、Bitcoin のセキュリティ プロトコルのさらなる改善につながりました。

CVE-2018-17144: 攻撃者が固定供給原則に違反して余分なビットコインを作成できる重大なバグ。この問題は 2018 年 9 月に発見され、修正されました。ユーザーは潜在的な悪用を回避するためにソフトウェアを更新する必要がありました。

さらに、ビットコインコミュニティでは、まだ実装されていないさまざまな脆弱性と潜在的な修正について議論されています。

CVE-2013-2292: 検証に非常に長い時間のかかるブロックを作成することで、攻撃者はネットワークの速度を大幅に低下させる可能性があります。

CVE-2017-12842: この脆弱性により、軽量の Bitcoin ウォレットが、実際には支払いを受けていないのに支払いを受けたと勘違いする可能性があります。これは、SPV (Simplified Payment Verification) クライアントにとって危険です。

これらの脆弱性に関する議論は、ビットコインのプロトコルに対する協調的でコミュニティのサポートによるアップデートが継続的に必要であることを強調しています。コンセンサス クリーンアップ ソフト フォークのアイデアに関する継続的な研究は、潜在的な脆弱性を統一的かつ効率的に解決し、ビットコイン ネットワークの堅牢性とセキュリティを継続的に確保することを目指しています。

ソフトウェア セキュリティの維持は、継続的な監視と更新を必要とする動的なプロセスです。これは、安定性と信頼性を維持するためにコア プロトコルを変更しないという、ビットコインの骨化に関する広範な議論と重なります。リスクを回避するために変更を最小限に抑えることを主張する人がいる一方で、セキュリティと機能を強化するために定期的な更新が必要であると主張する人もいます。

Bitcoin Core によるこの新しい開示ポリシーは、必要な更新が適切に伝達され、責任を持って管理されることを保証することで、これらの視点のバランスをとるための一歩となります。

出典: ビットコインマガジン

Bitcoin Coreが新しいセキュリティ開示ポリシーを発表という記事が、Crypto Breaking Newsに最初に掲載されました。