暗号資産IOTAが約12億円分盗難にあった事件で英国オックスフォードにて36歳の男が一人逮捕されたと報じられた。容疑は詐欺、盗難、マネーロンダリングの疑いで、被害者は85人に登る。2018年1月以来起こっていた犯罪で、ユーロポールなどヨーロッパ全域を巻き込む大捜査となった。

IOTAはIOTと相性の良い暗号資産として開発されブロックチェーンではなくTangleと呼ばれる有向非巡回グラフを基にした分散台帳技術により実現されており、マイナー不在のためトランザクションにかかる手数料も無料となっている。

また、送信処理のたびに使用されるアドレスが新しく生成され、使用済みのアドレスは再利用不可能となっており、残高のあるアドレスを攻撃者から隠蔽することにより高いセキュリティを保持しているとされていた。

では今回の事件でなぜ多数のアカウントからIOTAが盗まれてしまったのか。原因は悪意あるシードジェネレータの存在にあった。

シードとはIOTAにおいてアドレスの上位にある81文字の文字列であり、シードによりアドレスが自動決定されるため、利用者が逐一変更するアドレスを管理する手間がなくなるというものだが、このシードが漏洩してしまえばセキュリティの基盤は失われる。

シードの81文字は数字の9とアルファベットA-Zの合計27種類で組み合わされていれば何でもよいため自然に衝突する可能性は0ではないが数学的に無視してもよいほど少ない確率となっているため適切に管理されたシードであれば安全に使用できるが、悪意あるシードジェネレータは生成されたシードをサーバーに保管しており、今回逮捕された男は保管されていたシードから盗難に成功した。

IOTAのガイドラインでもシードはオンラインで生成せずオフラインのコマンドで生成することを案内している。技術的に安全が確保されていても運用面で漏洩してしまう可能性は避けられないのだろう。IOTAに限らず資産やSNSなど重要なアカウントにはスマートフォンなどによる2段階認証の徹底が望ましい。