「コードレッド」から「無視してOK」へ: NPMエクスプロイトは過大評価されていたのか？

「重要でない」警告と目覚めの呼びかけ

大規模なJavaScriptのNode Package Manager（NPM）サプライチェーン攻撃の報告が、暗号コミュニティ内で短時間ながら激しいパニックを引き起こしました。数時間の間、警告に飛びついた悲観論者たちは、ユーザー資金の広範囲な盗難について推測しました。その際、LedgerのCTO、Charles Guillemetは、ソフトウェアウォレットユーザーにチェーントランザクションを停止し、ハードウェアウォレットユーザーにトランザクションを再確認するよう勧告しました。

しかし、数時間経過するにつれて、攻撃の規模が明らかになりました。悪意のあるコードが非常にターゲットを絞っており、影響を受けたアプリケーションの数は限られていました。Uniswap、Metamask、OKX Wallet、Aaveなどの著名なプロジェクトはすべて、影響を受けていないことを確認する声明を発表しました。

被害が広範囲に及ばなかったため、初期のパニックはすぐさま議論へと変わりました。安心した暗号ユーザーの中には、最初の警告の深刻さに疑問を抱く人も現れ、一部ではアルマジストあるいはソフトウェアウォレットに対する間接的な攻撃とさえ見る意見がありました。この視点は、真の脆弱性を強調する一方で、ハードウェアウォレットの利用促進のために過大評価されていた可能性があることを示唆しています。

盗まれた暗号の観点から、被害が少なかったためにこの脅威を「重要でない」と称する人もいる一方で、一部のブロックチェーンセキュリティ専門家は、この事件がすべてのソフトウェア開発者への警鈴として作用すべきだと主張しています。これらの専門家は、この事件によりハードウェアウォレットのセキュリティモデルが裏付けられると同時に、そのようなウォレットのユーザーも特定の条件下で同様の攻撃に資金を失う可能性があると警告しています。

Cartesiの共同創設者、Augusto Teixeiraはこの点を強調し、「ハードウェアウォレットのユーザーでさえ、そのような攻撃の影響を受ける可能性があります。例えば、多くの人がMetamaskの助けを借りてハードウェアウォレットを使用しており、デバイスの画面でデータを検証していません」と述べています。「トランザクションがますます複雑になり、人々が目を塞いで署名することが一般的になってきています。検証は難しいです。」

Teixeiraによれば、ハードウェアウォレットには、アドレス帳やJSON ABIとの統合といった重要な機能が欠けており、それによってユーザーはデバイスの画面から何に署名しているのかをより理解することができるでしょう。

業界全体への影響とベストプラクティス

NPMの事件は、開発者、パッケージマネージャー、および組織が使用するセキュリティ慣行に疑問を投げかけました。暗号業界の一部では、ピアレビューなどのベストプラクティスを遵守し、開発者が承認なしにコードを生産へプッシュできないようにすることで、このような攻撃の可能性を最小限に抑えることができると考えています。さらに、システムを最新の状態に保ち、パスワードの再利用を避けるべきだと主張しています。

COTIの共同創設者兼CEOであるShahaf Bar-Geffenは、NPMのようなパッケージマネージャーが攻撃者のサインインプロセスを難しくする必要があると信じています。彼は、「OpenJS Foundationのような組織が監督する可能性のある『重要パッケージセキュリティフレームワーク』が、強力な認証（2FA、スコープ付きAPIトークン）、再現可能なビルド、そして高ダウンロード数閾値を超えるパッケージに対する年次第三者監査を義務化することができる」と主張しています。Bar-Geffenは、この階層的な検証モデルがベストプラクティスを奨励し、重要なインフラを守る助けになると信じています。

悪意のある活動を暴露するために、一人の人物（利害関係を持つ可能性がある）に依存する必要を避けるため、CartesiのソリューションアーキテクトであるCarlo Fragniは、プロジェクトが研究者によって使用されるチャンネルに耳を傾けることを奨励しています。また、彼は「依存関係の分析ツールを使用し、新しいバージョンに更新された際にすべての依存関係についてデューデリジェンスを実施すること」を推奨しています。