MetaMaskの脆弱性は特定ウォレットにのみ影響する事が発覚

MetaMaskの脆弱性は特定ウォレットにのみ影響

脆弱性による一部のユーザーウォレットのトラブルで、MetaMaskは問題が認識されているほど大きくはないと説明したうえで、ブロックチェーンセキュリティ会社であるHalbornのセキュリティ研究者により、バグは特定ウォレットにのみ影響をおよぼすことが特定された。

影響を受けるユーザーは、MetaMaskを含む多くのブラウザーベースのウォレットで見つかったとのこと。重要であるのが、シークレットリカバリフレーズの抽出を可能にする脆弱性が最終的に解決されると言われていることである。MetaMaskチームは、特定タイムラインについて保証することはできないと述べたほか、このバグについてはMetaMaskMobileには影響しない事を明らかにした。

脆弱性はウォレットの小さなセグメントに影響を与える

研究者によると、まれなケースで発生するMetamaskのセキュリティ上の脅威は、MetaMaskExtensionバージョン10.11.3以降で修正されている。

MetaMaskに取り組む開発者の一人であるダン・フィンレイ(Dan Finlay)氏は、今回のバグについて、MetaMask Extensionユーザーのごく一部だけでなく、他のブラウザー/拡張機能ウォレットのユーザーにも影響を与える事を明らかにした。同氏は、3つの条件が個々のウォレットに適用される場合、ユーザーが危険にさらされる可能性があると説明。その条件というのが、ユーザーのハードドライブが暗号化されておらず、ユーザーがシークレットリカバリフレーズを別のデバイスのMetaMask拡張機能にインポートした場合、もう1つの条件に加えて、ユーザーは危険にさらされるとのこと。このもう1つの条件とは、同時に、ユーザーが「シークレットリカバリフレーズを表示」チェックボックスを使用して、画面にフレーズを表示している事だと述べ、次のように語っている。

この脆弱性は、シークレットリカバリフレーズをMetaMaskにインポートした後にデバイスが危険にさらされたユーザーに影響を与える可能性が最も高いです。

なお、MetaMaskは、新しい保護を導入し、リスク軽減を続けると述べている。

妥協ウォレットからの資金移動

研究者たちは、MetaMaskのセキュリティの脅威から安全を確保するために、脆弱なアカウントから資金を移行することを推奨。自分のコンピューターが他の人にアクセスするのは安全ではないと考えるユーザーのために、研究者は提案をしており、他人から物理的に安全でないコンピューターでは、システムで「フルディスク暗号化」を有効にする必要があるとのこと。