監査件数の増加が被害の減少に繋がらない現実
仮想通貨業界は過去数年間、サイバーセキュリティの脅威に直面し続けてきた。北朝鮮のLazarus Groupを含む悪質なアクターによって2022年以降22億ドルを超える資金が盗まれており、業界全体がこれに対抗するため監査件数を3倍に増やしてきた。しかし皮肉にも、監査件数の増加は被害額の減少には繋がっていない。実は、業界が実施している大多数の監査は、スマートコントラクト(ブロックチェーン上で自動実行されるプログラム)のコード層の脆弱性を検出することに特化している。一方、実際の攻撃の大多数は人的要因と運用面の脆弱性を狙っているのだ。つまり、監査が検査する脆弱性と、攻撃者が実際に悪用する脆弱性の間に大きなズレが生じている。開発者へのフィッシング詐欺、秘密鍵の盗難、ガバナンス操作、内部者による不正行為、悪意のある依存関係の更新といった運用層の脅威は、コード監査では防ぐことができない領域だ。
完璧なコードは脆弱な運用インフラの上に成り立つ
従来の監査企業は、スマートコントラクトの論理的な欠陥や実装上のバグを見つけることに長けている。この領域での技術水準は確実に向上し、コード品質も改善されている。しかし現実のプロジェクト大規模被害を調査すると、最もコストの高い攻撃はコードの脆弱性ではなく、秘密鍵の侵害やガバナンスシステムの破綻から生じていることが多い。例えば、開発チームが高度なフィッシング攻撃の標的になった場合、どれほどコードが優秀であろうと無意味になる。財務的ダメージを指標とすると、運用面の脆弱性から発生する攻撃のほうが、コード上の脆弱性よりもはるかに壊滅的な被害をもたらしている。業界は膨大なリソースをスマートコントラクトのリスク低減に投じてきたが、最も危険で高額な攻撃ベクトルに対する防御は相対的に不十分なままだ。
監査の「安全宣言」が生む虚しい安心感
多くのプロジェクトは完了した監査の件数、依頼した企業の知名度、監査で特定された問題の数をマーケティングの重要な要素として使用している。これらの要素は、プロジェクトの安全性を判断する指標として利用者や投資家に認識されている。しかし監査とは、特定の時点における特定のコードベースを、限定されたスコープと前提条件の下で評価するものに過ぎない。プロトコルがコントラクトをアップグレードしたり、新しいインフラを統合したり、ガバナンス手続きを変更したり、運用慣行を改めたりすれば、セキュリティ態勢は直ちに変わる。プロジェクトが「完全監査済み」というラベルを使って広範な保護を約束するような宣伝を行うと、ユーザーと開発チームの両方に危険な誤解が生じる。過去のある時点で実施された限定的な評価が、現在と未来の脅威から永続的に守ってくれるという幻想が作られてしまう。運用面の改善、継続的なセキュリティ訓練、多層防御戦略の導入こそが、監査と並行して実施されるべき不可欠な対策であり、業界全体が完全なセキュリティ体制へシフトするまで、大規模な被害は止まらないだろう。
