ビットコインCoreの開発者は、利用者のIPアドレスという本来秘匿すべき情報が露呈する可能性のあるプライバシー・バグを公表した。修正版はバージョン31.1で提供予定。
この不具合は、今年4月にバージョン31.0で新たに追加されたオプション機能「プライベートブロードキャスト」に存在する。開発者は6月6日に警告を発表した。
プライバシー・バグの仕組み
プライベートブロードキャストは、匿名性ネットワークTorを使ってトランザクションを送信する機能。受信者は送信元を特定できない仕組み。
しかし、公式のアドバイザリーによれば、この仕組みが破綻する場合がある。
問題は、ソフトウェアがネットワーク上の他の端末と暗号化接続を試みる際に発生する。この接続が失敗すると、Torを使わず通常接続で再試行が行われる。その結果、受信者が送信者の本当のIPアドレスとおおよその位置を取得できる。
さらに深刻なのは、攻撃者が意図的に暗号化のハンドシェイクを拒否することで、この再試行を故意に起こせる点である。
リスクは重大。ビットコインの台帳は公開されており、トランザクションとIPアドレスが紐づくことで実世界の個人と送金が結びつきかねない。
影響範囲と推奨対応策
このバグの影響を受けるのは、バージョン31.0を利用し、本機能を有効にしたユーザーのみ。日常的なウォレット送金には影響しない。開発者は研究者ユージーン・シーゲル氏の発見と認めた。
一方、市場にはほとんど動きがなかった。ビットコイン(BTC)は本稿執筆時点で6万3700ドル付近で推移し、過去1日でほぼ動きなし。開発者は今後、ビットコインのプライバシー取り組みに対する信頼回復という静かな課題に臨む。
バージョン31.1がリリースされるまで、該当ユーザーは本機能を無効にするか、全トラフィックをTor経由にすることが推奨される。今回の問題は、最近の取引中継に関する論争に続くものであり、ビットコインCoreの運営体制について改めて議論が起きている。
