1.
NFTとサイバーセキュリティについて
総関西サイバーセキュリティＬＴ大会（第35回）

2.
Profile
自己紹介
所 属
株式会社ラック
セキュリティビジネス統括部
デジタルビジネス推進部
二本松哲也
仕 事
部門を超え新たなセキュリティコンサル
ティングサービスを企画・提案しています
令和2年度事業 総務省テレワークセキュリティ相談窓口
趣 味
OWASP（ボランティア）、Security &
Privacy by Designの活動
メガダンス・エアロビクス、筋トレ、ジョ
ギング、料理、ギター、キャンプ

3.
3
株式会社ラック
ITとサイバーセキュリティの力で社会的課題に立ち向かい
国の発展を支え、人々の暮らしを守りま
す
※ ＪＳＯＣ（下記参照）、サイバー救急センター、サイバー・グリッド・ジャパン、が特徴です。
商 号
株式会社ラック
LAC： LAC Co., Ltd.
設 立 2007年10月1日 （旧ラック1986年9月）
資本金 10億円
代 表 代表取締役社長 西本 逸郎
売上高 連結 426億円 （2022年3月期）
決算期 3月末日
認定資格 経済産業省情報セキュリティ監査企業登録
情報セキュリティマネジメントシステム
(ISO/IEC 27001)認証取得(JSOC)
プライバシーマーク認定取得
 https://www.lac.co.jp/
 sales@lac.co.jp
 Twitter @lac_security
 YouTube laccotv
 Facebook Little.eArth.Corp or 株式会社ラック
・本社
〒102-0093 東京都千代田区平河町 2-16-1
平河町森タワー
03-6757-0111(代表)
03-6757-0113 (営業窓口)
・東陽町オフィス
〒135-0016 東京都江東区東陽2-2-20
東洋駅前ビル2F
・名古屋オフィス
〒460-0002 愛知県名古屋市中区丸の内3-20-17
KDX桜通ビル16F
福岡オフィス
〒812-0011 福岡市博多区博多駅前3-9-1
大賀博多駅前ビル5F
テクノセンター北九州
〒802-0001 北九州市小倉北区浅野3-8-1 AIMビル8F
テクノセンター秋葉原
〒101-0024 千代田区神田和泉町1-3-4 青木ビル
3F
シンガポール支店
80 Robinson Road #10-01A Singapore
068898
■ JSOC (Japan Security Operation Center)
JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。24時間365日運営。
高度な分析官とインシデント対応技術者を配置しています。

4.
出典：平 将明 衆議院議員ホームページ
NFTホワイトペーパー（案）～ Web3.0時代を見据えたわが国のNFT戦略 ～
《テーマ》
① 国家戦略の策定・推進体制の構築
② NFTビジネスの発展に必要な施策
③ コンテンツホルダーの権利保護に必要な施策
④ 利用者保護に必要な施策
⑤ NFTビジネスを支えるBCエコシステムの健全な育成に必要な施策
⑥ 社会法益の保護に必要な施策
まだ案の段階で最終形になるのはこれからです。
ご意見等ありましたら、「お問い合わせ」フォームからお寄せください。

5.
NFTにセキュリティは必要ないの？

6.
コンテンツデータを格納するWebサーバーの脆弱性

7.
コンテンツデータを格納するWebサーバーの脆弱性
出典：OpenSea Developers - Metadata Standards
Off chain
server
On chain
server
コンテンツデータ
アドレス

8.
コンテンツデータを格納するWebサーバーの脆弱性
出典：Protocol Labs

9.
コンテンツデータを格納するWebサーバーの脆弱性
出典：Filecoin Security

10.
スマートコントラクトの脆弱性対策

11.
NFT マーケットプレイス『nanakusa』
2021 年 9 月 3 日に発生した NFT 流出に関するご報告書
SBINFT 株式会社
• NFT 流出の原因
NFT の購入処理を実行する権限を生成するプログラムに不正アクセスがなされたため、実行権限が
不正に奪取されたことが直接的な原因となります。
結果として、販売価格を無視した価格で購入を実行したことで、無償同然で NFT の所有権が移動さ
れました。
根本的な原因としては、実行権限取得の暗号化アルゴリズムの複雑性が不足していたため暗号化ア
ルゴリズムに不正アクセスがなされ、一部の実行権限が奪われたことが判明しています。
暗号化の複雑性不足によって、これまで NFT マーケットプレイス上でユーザーが取引を行うにあたっ
て著しく問題となる事態は発生しておりませんでしたが、当社としては、『nanakusa』における NFT の
取引流通量の増加やユーザー数の増加などを考慮して、システムを見直し、暗号化の複雑性を向上
させるなどセキュリティレベルをより高い水準にすることを検討していたところ、今回のような不正アク
セスの攻撃を受ける事態になりました。
当社においてご利用者の皆様が安全に NFT の取引を行うにあたって、当社のセキュリティリスクに対
する認識が十分であったとまでは言い切れず、セキュリティ評価が十分になされていなかったことに
対して、深く反省しております。
スマートコントラクトの脆弱性
出典：https://smartapp.co.jp/wp-content/uploads/2021/10/report_20210903.pdf

12.
スマートコントラクトの脆弱性
出典：https://ecouffes.github.io/smart-contract-best-practices/security_tools/
静的・動的解析ツール
• Mythril Classic - スマートコントラクトセキュリティ用のスイスアーミーナイフ。
• MythX - EthereumスマートコントラクトSDLC用のセキュリティツール。
• Slither - 多くの一般的なSolidity問題の検出機能を備えた静的解析フレームワーク。汚染と値
のトラッキングが可能。Pythonで書かれています。
• Echidna - Ethereumソフトウェア用の唯一の利用可能なFuzzer（テストデータの自動生成機
能）。プロパティテストを使用して、スマートコントラクトを破る悪意のある入力情報を生成し
ます。
• Manticore - EVMをサポートする動的バイナリ解析ツール。
• Oyente - こちらのホワイトペーパーに基づいて、Ethereumコードを分析して一般的な脆弱性
を見つけます。
• Octopus - EVMと(e)WASMをサポートするブロックチェーンスマートコントラクト用のセキュ
リティ解析ツール。

13.
NFTトークン発行の脆弱性対策

14.
NFTトークン発行の脆弱性
Something Fishy is Happening on OpenSea as Bots Upset NFT Auctions
出典：The Defiant

15.
まとめ

16.
NFTホワイトペーパー（案）～ Web3.0時代を見据えたわが国のNFT戦略 ～
《追加テーマ》
① 国家戦略の策定・推進体制の構築
② NFTビジネスの発展に必要な施策
③ コンテンツホルダーの権利保護に必要な施策
④ 利用者保護に必要な施策
⑤ NFTビジネスを支えるBCエコシステムの健全な育成に必要な施策
⑥ 社会法益の保護に必要な施策
⑦ NFTとサイバーセキュリティについて
(1) コンテンツデータを格納するWebサーバーの脆弱性対策
(2) スマートコントラクトの脆弱性対策
(3) NFTトークン発行の脆弱性対策
https://youtu.be/J2mN3k_sElE

17.
仮想通貨取引所の利用者から預かっている仮想通貨が外部からの不正アクセスにより流出したことで業界
全体に悪影響を及ぼした（マウントゴックス事件およびNEM流出事件）は記憶に新しく思います。
サイバーセキュリティーはWeb2.0時代の成長支え共に成長した産業でした。Web3.0時代はこれらを教
訓に活かし、責任あるイノベーションを支えていきたいと思う次第です。