連邦取引委員会(FTC)は、サイバーセキュリティ能力を公に誇示していた企業に対し、ソフトウェアの欠陥によってハッカーがユーザーから数億ドル相当の暗号資産を盗み出したことを受け、回収された資金を被害者に返還し、セキュリティ改革を実施するよう命じている。
FTCは、2022年にハッカーが同社の「Token Bridge」暗号資産スマートコントラクト・ソリューションの脆弱性を悪用した事件について調査を行った後、Illusory Systems(Nomadとしても事業展開)と和解に達したと発表した。このプログラムは、異なるブロックチェーンを接続し、ユーザーがそれらの間で資産を移転できるようにするプロトコルを提供する。
合意の一環として、同社はFTCの申立書で指摘されたセキュリティ上の欠陥への対処や、消費者を盗難・詐欺から守るためのプログラムを含む、包括的なサイバーセキュリティ計画を実施しなければならない。また、その計画を提出し、改善に関して独立した第三者評価者に協力するとともに、法執行機関が回収した盗難資金を返還しなければならない。
FTC消費者保護局のクリストファー・ムファリッジ局長は声明で、「FTC法は企業に合理的なセキュリティ対策を講じることを求めている」と述べた。「企業が消費者に対するセキュリティ上の約束を果たすことが重要だ。」
FTCの申立書によると、2022年6月、Illusory Systemsはセキュリティ監査の後、暗号資産スマートコントラクト群であるToken Bridgeに「新たな、十分にテストされていないコード」を導入した。
わずか1か月後、悪意あるハッカーがその欠陥を利用して、ユーザーから1億8600万ドル相当の暗号資産を盗み出した。ホワイトハット・ハッカーは同じ手口を用いて、ハッカーが資金を引き出し切る前に、盗難資金のうち少なくとも3700万ドルを保全することができ、合意ではIllusory Systemsに対し、その資金をユーザーへ返還するよう指示している。
FTCは、Illusory Systemsが顧客に対してToken Bridgeネットワークをどのように提示していたかに注目し、ユーザーに対するセキュリティへの取り組みを重大に虚偽表示したとして同社を告発した。
同社は時期によって、スマートコントラクト・ソリューションを「高セキュリティ」、資金/クロスチェーンメッセージの「安全性とセキュリティを最優先する」 「セキュリティ第一」のソリューション、そして「システム全体(およびあなたの資金/メッセージ)を安全に保つ」ものだと宣伝していた。
別のメッセージでは単に「私たちは安全です…以上。」と述べていた。
しかしFTCの調査では、Illusory Systemsが合理的かつ適切なセキュリティ慣行を整備していなかったことが判明した。
Token Bridgeのようなクロスチェーン・ブリッジがハッカーの標的になっており、侵害されれば「壊滅的な損失」につながり得ることを認識していたにもかかわらず、開発者は「本番環境にコードを投入する前に適切なユニットテストを書いて実施する」といった「よく知られた安全なコーディング慣行」を実装していなかった。
実際、同社のソフトウェアエンジニアと事後分析により、Token Bridgeのテストの大半は、セキュリティを検証することではなく、正しく機能することを確認する点に重点が置かれていたことが明らかになった。
委員会によれば、Illusory Systemsには十分なセキュリティ担当者がいなかったほか、明確な脆弱性報告および対応プロセス、文書化されたセキュリティ計画が欠けており、さらに不審な金融取引を停止できるサーキットブレーカーや「キルスイッチ」といった「広く受け入れられている業界標準」も備えていなかった。
事態をさらに悪化させたのは、同社に自動化された不正監視がなかったため、社内で検知するのではなく、ソーシャルメディア上のユーザーから侵害を知らされたことだ。
スタッフはハッキングへの対応に奔走し、飛行機に乗っているエンジニアがオンラインチャットでコード断片を中継することにまで頼った。遅れが生じた結果、セキュリティ担当者は「資産が空になるまでブリッジを停止できなかった」。
ハッキングの数か月前、あるエンジニアはCEOに対し、コードテストと品質保証が弱いと警告し、適切にテストされていなかったために重大な脆弱性を含むコードを以前に出荷してしまったことがあると指摘していた。
調査ではまた、顧客資金を安全に保つと約束していたにもかかわらず、ウェブベースのToken Bridgeインターフェースのバグによって損失を被ったユーザーに補償しようとする社内の取り組みを、同社が以前に覆していたことも明らかになった。
ある事例では、最高執行責任者(COO)が「安全性の保証はない」と述べ、CEOはIllusory Systemsが「バグ/問題があるかもしれないプロトコルへの無料で使えるインターフェースを提供している」と指摘したと報じられている。
翻訳元: https://cyberscoop.com/ftc-settles-with-illusory-systems-in-2022-cryptocurrency-hack/
