Nymネットワークとアプリのセキュリティ監査 2023–2024
Nymネットワークとアプリのセキュリティ監査 2023–2024
コミュニティ
・Nym日本コミュニティ - Telegram
・Nym日本コミュニティ - Discord
・Nym日本コミュニティ - LINEオープンチャット
・Nymプロジェクト日本語アカウント - X
Nymネットワークとアプリのセキュリティ監査 2023–2024
NymVPNの世界向け商用ローンチに向けて、Nymネットワークとアプリは過去2年間にわたり、2回の徹底的かつ独立したセキュリティ監査を受けました。その目的は、NymVPNが顧客の手に渡る際に、Nymの技術、暗号技術、ネットワークが最高の状態であることを確認することでした。
その結果、セキュリティの大幅な向上とパフォーマンスの改善が裏側で行われました。Nymのオープンソースコードと同様に、これらの監査結果も公開されており、Nymチームが関連する問題に対処するために講じた措置を説明する回答も公開されています。
セキュリティ監査とは?
セキュリティ監査とは、企業が技術、システム、またはネットワークのセキュリティパラメータや脆弱性をテストしようとする際に行われるものです。Nymの場合のように、これはベータ製品をローンチ前に厳密にテストするための予防的措置となることがあります。
セキュリティ監査は、社内のセキュリティ担当者や開発チームによって実施することもできますが、理想的には、企業や技術に対して利害関係を持たない独立した監査会社によって行われるべきです。これにより、公正かつ科学的に厳格なテストが保証されます。
さらに、セキュリティ監査は、企業のコードが完全または部分的にproprietary(非公開)であるか、オープンソースであるかによって異なる規模で実施される可能性があります。
いずれの場合も、2023年から2024年にかけてNymネットワークとアプリに対して実施されたセキュリティ監査は、独立したセキュリティ企業によって行われ、Nymのオープンソースソフトウェアに完全にアクセス可能な形で実施されました。すべての報告書と対応も、一般およびコミュニティに公開されています。
Cure53監査(2024年7月)
最新かつ最も広範囲な監査は、2024年7月にベルリンを拠点とする企業Cure53によって実施されました。Cure53はWeb3分野で広く知られており、ExpressVPN、Mullvad、TunnelBear、NordVPNなどのVPN企業の監査を行った実績があります。
監査の範囲
Cure53は、ソースコード、ビルド、ドキュメント、テスト環境、および関連するソースコードに完全にアクセスできる「クリスタルボックス戦略(crystal-box strategy)」を採用しました。この広範な監査では、Nymのインフラストラクチャ(モバイルおよびデスクトップアプリケーション、VPNインフラストラクチャ、暗号技術、システムアーキテクチャ)を対象としました。これには、ペネトレーションテスト、ソースコード監査、コードレビューが含まれます。
監査の結果
Nymシステムの多くのコア部分は良好かつ安全な状態であると確認され、特にモバイルおよびデスクトップアプリとRustビルドが堅牢であることが証明されました。
「Cure53は、AndroidおよびiOSアプリのいずれにも、ハードコードされた機密情報や秘密が含まれていないことを確認しました。これは重要なセキュリティ上の考慮事項です。」
また、Cure53の監査では、Nymシステム全体におけるいくつかの重要な潜在的セキュリティリスクが指摘されました。特に、クライアントとゲートウェイ間の暗号化ハンドシェイクにおける潜在的な平文漏洩リスクなど、暗号技術の実装に関連するリスクが報告されました。これらの重大なリスクは、Nymチームによって迅速に対処されました。
また、Cure53は「高」または「重大」と評価されるリスクをいくつか指摘しましたが、Nymの対応によれば、それらは既に運用されていないインフラストラクチャに関連するものや、Nymのe-cash実装の設計上、成功し得ない攻撃に関するものでした。
Nymの研究および技術責任者によるCure53監査への回答では、行われた変更や行わなかった変更の説明が提供されています。また、Cure53のオリジナルレポートへのリンクもそこに掲載されています。
Oak監査(2023年)
Nymの研究者たちは、2023年にドイツのセキュリティ企業Oak Securityによって実施された2つのセキュリティ監査に対する回答も公開しました。Oakはスマートコントラクトに特化したセキュリティ企業であり、Cosmos、Terra、Polkadot、Flowなどのエコシステムで広範な経験を持っています。
監査の範囲
最初の監査では、Nymミックスネットとベスティングコントラクトを対象とし、2回目の監査ではNymウォレットアプリに焦点を当てました。
Oakの監査では、Nymのオープンソースコードベースに完全にアクセスしたうえで、contracts/mixnet、contracts/vestingリポジトリ、関連するインポート、Nymウォレットアプリを対象としました。
監査の結果
Oakミックスネットおよびベスティングコントラクト監査
Nymの研究責任者Ania Piotrowskaは、監査の結果と対応について次のように要約しています。
「Nymのミックスネットとベスティングコントラクトは、高い可読性と明確さを備えており、堅牢なテストカバレッジによって信頼性が支えられていました。監査では、合計19件の指摘があり、そのうち9件がセキュリティ脆弱性(重大および重要度の高い問題を含む)、残り10件が軽微または情報提供目的の指摘でした。Nymチームは、すべての重大および重要な問題に迅速に対処し、Oak Securityは修正を検証し承認しました。」
Oak Nymウォレット監査
AniaはNymウォレット監査の結果について以下のように述べています。
「Nymウォレットは、構造化されたコードベースを持ち、中~高レベルの可読性が確認されました。監査では、信頼性と保守性を向上させるために、テストカバレッジとドキュメントの改善が推奨されました。Nymウォレットに関する報告は合計17件で、重大な問題はなく、4件が重要、残り13件が軽微または情報提供目的の指摘でした。Nymチームは、すべての重要な問題に迅速に対応し、Oak Securityが修正を承認しました。」
結論
Nym にとって、ネットワークとアプリのセキュリティは最も重要な関心事です。これが確保されなければ、Nym を利用する人々は、必要とされ約束された「現在利用可能な最先端のプライバシー保護とセキュリティ」を得ることができません。そのため、Nym チームは Cure53 および Oak Security のコンサルティングによる大幅なセキュリティ向上を経て、2025 年へと歩みを進めています。
Nym は、オープンソースコードベースの独立監査、アプリケーションおよびネットワークの開発、さらにバグバウンティプログラムを継続的に実施し、NymVPN およびネットワークを利用する人々に最高水準のセキュリティを提供し続けます。
コミュニティ
・Nym日本コミュニティ - Telegram
・Nym日本コミュニティ - Discord
・Nym日本コミュニティ - LINEオープンチャット
・Nymプロジェクト日本語アカウント - X
原文: