2017年に初めて報告されたLinuxカーネルの脆弱性——「コピーフェイル」バグとして知られる——が、多くの暗号資産取引所やウォレットサービスを支えるサーバーに今も残存しており、今週新たなサイバーセキュリティ上の警鐘を鳴らしている。この欠陥は、コピーオンライトメモリ処理におけるレースコンディションを通じて特権昇格を可能にするもので、ローカルアクセスベクトルと組み合わせて悪用されると、攻撃者が標的のマシンを完全に制御できる。このバグは数年前に修正されたものの、セキュリティ研究者らは、数え切れないほどの本番システムが未パッチのままであり、デジタル資産プラットフォームを窃盗やデータ漏洩のリスクにさらしていると警告している。
死なない欠陥
CVE-2017-1000112として追跡されるこのバグは、Googleの研究者によって発見され、主要なLinuxディストリビューションで迅速に修正された。しかし実際には、パッチ適用は一貫していない。多くの暗号資産企業はカスタムカーネルを実行しているか、タイムリーなアップデートが常に行き届かない長期サポート版に依存している。この脆弱性はカーネルのメモリ管理を悪用して、コンテナの制限を回避したり、低権限ユーザーからrootへの権限昇格を実現する。暗号資産取引所の場合、APIキーやWebアプリケーションを侵害した攻撃者が、基盤となるサーバーに侵入し、ホットウォレットを流出させたり、取引ロジックを改ざんしたりする可能性があることを意味する。
なぜ暗号資産サーバーが標的になるのか
ブロックチェーンインフラはLinuxに大きく依存している——ノード運営者、マイニングプール、取引所のバックエンドにとって選ばれるOSである。「コピーフェイル」バグは、特にマルチテナント環境——ホスト型ウォレットサービスやクラウドベースの取引プラットフォームなど——で危険であり、侵害された1つの仮想マシンが隣接するインスタンスに影響を及ぼす可能性がある。複数のセキュリティ企業の研究者は、今年の非公開業界ブリーフィングでこの問題を指摘し、監査対象の暗号資産環境のかなりの数が、2017年のパッチより前のカーネルを依然として実行していると述べている。
事業者が取るべき対策
新しい修正は存在しない——治療法は何年も前から利用可能である。問題は導入にある。取引所とウォレット運営者は、直ちにサーバーフリートを監査し、カーネルバージョンをCVEデータベースと照合するよう促されている。多くの場合は問題ないだろうが、一部はタイムボムを抱えていることに気づくかもしれない。Linux Foundationの長期サポートカーネルにはパッチが含まれているが、カスタムビルドやレガシーディストリビューションでは見落とされることが多い。Red Hat、Debian、Ubuntuはいずれも何年も前に修正をバックポートしたが、それはシステムが2017年後半以降に更新された場合に限られる。'uname -r'コマンドを使用した手動チェックと、CVEの影響を受けるバージョンとの照合が推奨される最初のステップである。
新しい脆弱性ではなく、同じ古いリスク
「コピーフェイル」の話はゼロデイパニックではない。これは、市場投入のスピードがセキュリティ衛生よりも優先される暗号資産の世界で、インフラの負債が急速に蓄積することを思い出させるものである。複数のブロックチェーンセキュリティ監査企業は、非公開でクライアントに対し、この古いバグのパッチ適用が今四半期の最優先推奨事項であると伝えている。業界が耳を傾けるかどうかは、どれだけ多くの取引所が7年前のカーネルバグを理論上の脅威ではなく現実の脅威として扱うかにかかっている。次の具体的なステップ:セキュリティチームが未パッチのシステムをスキャンするにつれ、今後数週間でより多くの公開勧告通知が発行されることが予想される。
