リップル元最高技術責任者(CTO)のデビッド・シュワルツ氏が今週、公に新たに発覚したWindows BitLockerの脆弱性について強い警告を発した。ここ数年で最も深刻なセキュリティ上の欠陥の1つであると指摘した。
同氏の発言は、XRP Ledger利用者を狙った詐欺が急増していることへの警告とも重なり、消費者端末のセキュリティおよびオンチェーンの信頼性に対する圧力が高まっている現状を示す。
BitLockerの欠陥に関しシュワルツ氏が重大なセキュリティ警告
シュワルツ氏によれば、この脆弱性を悪用することで、攻撃者は基本的なUSB機器を使い、マイクロソフトのフルディスク暗号化を回避できるという。認証プロンプトが求められないことから、ごく簡単な手順でアクセス可能な点を鑑み、従来のバグというより裏口(バックドア)に近いとの見方も出ている。
この欠陥は、Windows端末に機密データを保存するすべての利用者に影響が及ぶ。秘密鍵やリカバリーフレーズ、業務文書の保存者も例外ではない。シュワルツ氏はこれまでにも、プロトコルレベルのセキュリティやインセンティブ設計に関する見解が業界から注目を集めており、今回のBitLocker問題についての評価も重みがある。
今回の警告は、ソフトウェア攻撃が暗号資産関連の領域にも波及している懸念を強める。秘密鍵の流出は、コールドストレージのバックアップ保護にディスク暗号化を依存する個人投資家にとって、直接的かつ取り返しのつかない損失につながる。
リップルCTO、XRPL関連詐欺急増にも警鐘
シュワルツ氏は別の投稿で、XRPL利用者を標的とした詐欺報告が急増していると指摘した。偽エアドロップやなりすましアカウントが典型例となっている。なりすましは、認証済みプロフィールを模倣し、保有者に対しウォレットをドレイナー契約に接続するよう仕向けることが多い。
こうした傾向は、金融当局がここ数か月に注意喚起している詐欺増加とも重なる。XRP保有者の場合、台帳の匿名性および送金後に資金回収の手立てがないことから、リスクは一段と高まる。
XRPエコシステム内で高い知名度を持つシュワルツ氏の警告は広く拡散されがちだ。氏は、勧誘型エアドロップに安易に応じないこと、ならびにウォレット接続前には公式な連絡であるか独自に確認することを利用者に強く呼びかけた。
AI生成型の攻撃ツールも相次ぎ警告
こうした警告の発信時期と重なり、グーグルは本番環境でAI生成によるゼロデイ攻撃の阻止に成功したと発表した。報道によれば、このPythonベース攻撃は、広く用いられるオープンソース管理ツールに対する二要素認証を回避したという。
ビッグスリープやコードメンダーなどの防御型AIシステムは、こうした事態を受けて導入が進んでいる。しかし、エンドポイント暗号化や消費者認証がこれらの動向に追随できるかは、なおも不透明である。
