偽造ビットコインウォレットがAppleのApp Storeに頻繁に登場し、ユーザーから2万ドルを盗んでいる。それはオープンソースのせいでしょうか?

Appleの内部報告によると、有名なビットコインウォレットのクローンアプリがApp Storeに多数登場しているという。偽造ウォレットの中には本物のウォレットと全く同じものもあり、主にユーザーのビットコインを盗むために使用されます。 Appleがこれらのアプリを完全に削除するまでに、ユーザーは約2万ドルを失っていました。

こうした模倣アプリが簡単に開発され、配布されるという事実から、ビットコインの無料でオープンソースな性質が良いことなのか悪いことなのか疑問に思う人もいるでしょう。ほとんどのビットコインウォレットはオープンソースなので、誰でも検証して管理できます。しかし、別の観点から見ると、詐欺師はソフトウェア情報を少し変更するだけで簡単に入手し、違法に資金を盗むことができます。

Bitcoin ウォレットの Jaxx、Ethereum、Dash はすべてこれを認識し、いくつかの変更を加えました。たとえば、Jaxx の Web サイトでは、すべてのコードは公開されていますが、読み取り専用です。誰でもコードを検査する権利がありますが、コードをコピーして使用したり、単にコピーして貼り付けるだけでコードを盗んだりすることはできません。

Jaxx CEOのアンソニー・ディ・イオリオ氏はBitcoin Magazineに次のように説明した。

私たちがこれをするのは、部分的には私たち自身のためです。私たちは会社なので、運営コストがかかります。コードを無料で提供しても、まったく収益は得られません。もう 1 つの理由は、誰かが悪意を持って私たちの財布を模倣するのを防ぐためです。当社は品質管理サービスを提供したいと考えていますが、誰かが簡単に製品を模倣できるのであれば、それは失敗です。私たちは常に透明性とソフトウェアの所有権のバランスを取ろうとしています。コードが盗まれるのを防ぐために、コードにはすでに特定の摩擦ポイントが組み込まれています。

模倣ウォレット事件の被害者の1つはGreenAddressでした。 GreenAddress は常に完全にオープンソースであるため、そのコードをコピーして直接使用することができます。しかし、GreenAddress の開発者である Lawrence Nahum 氏は、フリー オープン ソース ソフトウェア (FOSS) モデルの支持者であり続けています。

オープンソースのウォレットコードは確かに模倣者にとって便利でしょう。しかし、ウォレットがオープンソースでなかったとしても、最終的には悪意を持ってコピーされる運命から逃れることは難しいと思います。コードが読み取り専用モードであっても、詐欺師はあなたのウォレットを模倣する方法を見つけることができます。さらに、ソースコードを公開しないということは、コードが精査されていないことを意味し、十分に安全ではないという印象を与えるだけです。私が知っているほとんどの開発者は、Web 上で直接コードをレビューすることはありません。

しかし、Di Iorio 氏は、コードに権限を設定することは必ずしも監視やセキュリティを放棄することを意味するわけではないと考えています。

ウォレットが完全にオープンソースであっても、アプリストアからダウンロードしたウォレットがまったく同じコードを使用しているかどうかはわかりません。そして、気にする人は多くないでしょう。ウォレットをダウンロードする前にコードを再確認する人はいません。ユーザーの 95% は、オープンソースであるかどうかに関係なく、使用可能なウォレットだけを必要としています。

Apple は、ビットコイン コミュニティからの苦情を受けて、これらの代替ウォレットを削除しました。ビットコインコミュニティとAppleの公式レビューシステムの行動により、模倣ウォレットによって引き起こされる長期的な被害がタイムリーに防止されました。

しかし、ナハム氏はこの解決策が長期的な解決策ではないと考えている。

Apple は拡張できない壁で囲まれた庭園のようなもので、App Store にロードされるすべてのソフトウェアを誰かがレビューする必要があります。マルウェアも更新されます。経験豊富なビットコインユーザーは依然として海賊版ソフトウェアを識別できますが、将来的には、悪意ある目的を達成するために海賊版を作成する必要さえないソフトウェアも出てくるかもしれません。

ナホム氏は、現状では完璧な解決策はないと述べた。ユーザーは、潜在的な海賊版ソフトウェアに注意し、適切な対策を講じることしかできません。

マルウェアを検出するたびに Apple に通知します。しかし、個人的には、ソフトウェアをダウンロードする際にはソースを確認することをお勧めします。開発者を知っているかどうか、レビューに何が書かれているかを確認し、ソフトウェアが bitcoin.org に送信されているかどうかに注意してください。必ず URL とソフトウェア名を再確認し、正規のソフトウェアをダウンロードしていることを確認してください。