アカウント名:
パスワード:
ネットの上を流れているのは機密情報や個人情報といった「売れば価値のある情報」だけではなく、価値そのものが流れる時代になったってことが良く分かる事件ですね。
いかにも鋭い洞察をしましたというふうに書いてるけど、
何を言ってるのかさっぱりわからない
>「売れば価値のある情報」(他人にとって)価値があるから売れるんであって、「価値」を「カネ」に言い換えれば、まあまあわかるのでは?まあ電子マネーとかbitcoinよりずっと前から流れてますけど。
決済情報ではなくて仮想貨幣そのものがネットワークを流れるようになったんだなー、という感慨は私も持ちました。決済情報のパケットをかっぱらっても自分の資産は増えない(増やすにはかっぱらったパケットを改ざんして再放流する必要がある)けれど、Bitcoinの場合はそれが成立してしまうわけで、だからこそBGPがターゲットになり得るというのはちょっと新鮮でした。
「マイニングプール」という仕組みについての、実装上の穴(セキュリティについての考慮不足)を突かれたのであって、ビットコインという仕組みに対しての攻撃ではないですね。そこのところを誤解しないようにしないと。
マイニングプールというのは、・ビットコインの採掘難易度が高くなってきたため、個人でまともに採掘できる見込みは薄くなってきた (採掘に計算量をつぎ込んでも、ビットコインを得られるかどうかは「オールオアナッシング」で、今ではナッシングな確率が非常に高すぎる)・そこで、複数人が共同で採掘を行い、採掘結果得られたコインを、採掘貢献度で分配する、という採掘互助システムが現れました。それが「マイニングプール」というものです。後から出てきた仕組みでああり、本来のビットコイン取引とは別の存在です。
ここで、・各採掘者は、プールサーバからの指示で採掘し、結果をプールサーバに報告します。(そして、プールサーバは受け取った報告を集計することで貢献度を算出します)ので、中間者攻撃として、・採掘者からの報告を偽プールサーバが受け取り、偽プールサーバが本物のプールサーバに報告するようにすれば、採掘に対する貢献は全て、偽プールサーバのものになってしまうわけです。
この場合、「プールへのアクセスのプロトコルを、中間者攻撃に耐えられるような認証技術を使っていれば良い」、ということで、マイニングプールの実装がセキュリティ的に弱かったということでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
いまや (スコア:0)
ネットの上を流れているのは機密情報や個人情報といった「売れば価値のある情報」だけではなく、
価値そのものが流れる時代になったってことが良く分かる事件ですね。
Re: (スコア:0)
いかにも鋭い洞察をしましたというふうに書いてるけど、
何を言ってるのかさっぱりわからない
Re: (スコア:0)
>「売れば価値のある情報」
(他人にとって)価値があるから売れるんであって、
「価値」を「カネ」に言い換えれば、まあまあわかるのでは?
まあ電子マネーとかbitcoinよりずっと前から流れてますけど。
Re:いまや (スコア:0)
決済情報ではなくて仮想貨幣そのものがネットワークを流れるようになったんだなー、
という感慨は私も持ちました。
決済情報のパケットをかっぱらっても自分の資産は増えない(増やすにはかっぱらった
パケットを改ざんして再放流する必要がある)けれど、Bitcoinの場合はそれが成立して
しまうわけで、だからこそBGPがターゲットになり得るというのはちょっと新鮮でした。
Re:いまや (スコア:1)
「マイニングプール」という仕組みについての、実装上の穴(セキュリティについての考慮不足)を突かれたのであって、
ビットコインという仕組みに対しての攻撃ではないですね。そこのところを誤解しないようにしないと。
マイニングプールというのは、
・ビットコインの採掘難易度が高くなってきたため、個人でまともに採掘できる見込みは薄くなってきた (採掘に計算量をつぎ込んでも、ビットコインを得られるかどうかは「オールオアナッシング」で、今ではナッシングな確率が非常に高すぎる)
・そこで、複数人が共同で採掘を行い、採掘結果得られたコインを、採掘貢献度で分配する、という採掘互助システムが現れました。それが「マイニングプール」
というものです。後から出てきた仕組みでああり、本来のビットコイン取引とは別の存在です。
ここで、
・各採掘者は、プールサーバからの指示で採掘し、結果をプールサーバに報告します。(そして、プールサーバは受け取った報告を集計することで貢献度を算出します)
ので、中間者攻撃として、
・採掘者からの報告を偽プールサーバが受け取り、偽プールサーバが本物のプールサーバに報告する
ようにすれば、採掘に対する貢献は全て、偽プールサーバのものになってしまうわけです。
この場合、「プールへのアクセスのプロトコルを、中間者攻撃に耐えられるような認証技術を使っていれば良い」、ということで、
マイニングプールの実装がセキュリティ的に弱かったということでしょう。