署名リプレイ攻撃とは何ですか？

署名リプレイ攻撃は、再利用されたデジタル署名を悪用して、不正なトランザクションを実行し、複製転送または契約実行を可能にすることによりブロックチェーンセキュリティを脅かします。

2025/07/05 21:29

署名リプレイ攻撃の概念を理解する

署名リプレイ攻撃とは、攻撃者が以前のトランザクションから有効なデジタル署名を傍受し、悪意を持って再利用する暗号化攻撃の種類を指します。ブロックチェーンおよび暗号通貨システムのコンテキストでは、これにより、正当なユーザーの意図の装いで不正なアクションが実行される可能性があります。トランザクションがユーザーの秘密キーによって署名されると、メッセージまたは転送の信頼性と整合性の両方を確認する一意の署名が生成されます。

特定の場合、システムがNoncesやTimestampsなどの適切な保護手段を実装していない場合、攻撃者はこの署名をキャプチャして後で「リプレイ」することができます。これは、同じ署名されたトランザクションを再度送信できることを意味し、重複する転送や不正な契約実行などの意図しない効果を引き起こす可能性があります。

コアの問題は、各署名が単一の使用または特定の時間枠内でのみ有効であることを保証するメカニズムがない場合にあります。

署名リプレイ攻撃はどのように機能しますか？

署名のリプレイ攻撃がどのように機能するかをよりよく理解するには、次のシナリオを検討してください。アリスはトランザクションに署名して、ボブに1 ETHを送信します。取引には彼女のデジタル署名が含まれており、彼女が転送を承認したことを証明しています。 Ethereum Networkで放送および確認されると、このトランザクションは不変の元帳の一部になります。

ここで、このトランザクションに結び付けられた一意の識別子（非CEのような）がないと仮定します。攻撃者は、署名を含むアリスの元のトランザクションデータを取得し、複数回再放送することができます。システムがこれを許可した場合、アリスは、ネットワークが同じ署名を繰り返し受け入れるため、意図したよりも多くの資金を無意識のうちに失う可能性があります。

• 攻撃者は、Mempoolまたは他の傍受方法から有効な署名されたトランザクションをキャプチャします。
• 彼らは、達成することを目指していることに応じて、トランザクションのパラメーターを変更または保持します。
• トランザクションは、多くの場合、送信者の知識なしにネットワークに再提出されます。
• 受け入れられた場合、トランザクションは再び実行され、潜在的な二重支出またはスマートコントラクトの繰り返しの実行につながります。

ブロックチェーンシステムでリプレイ攻撃が危険なのはなぜですか？

リプレイ攻撃は、ブロックチェーンセキュリティの基本的な柱の1つであるデジタル署名に対する信頼を活用するため、重大なリスクをもたらします。すべてのトランザクションを暗号化に署名する必要があるため、署名検証プロセスの弱点はシステム全体の整合性を損なう可能性があります。

スマートコントラクトは特に脆弱です

それらが、反レプレイ対策を組み込むことなく、許可のために外部署名のみに依存している場合。たとえば、オフチェーンの注文署名を使用した分散型取引所は、攻撃者が非セースまたは有効期限のタイムスタンプが施行されない限り、無期限に注文を再利用できる場合があります。

さらに、ハードフォークまたはネットワークのアップグレード中に、あるチェーンで有効なトランザクションも別のチェーンで有効になる場合があります。このクロスチェーンリプレイのリスクはさらに問題を複雑にし、攻撃者が複数のチェーンに合わせて同一のトランザクションを同時に実行できるようにします。

署名リプレイを有効にする共通の脆弱性

ブロックチェーンプロトコルとスマートコントラクトのいくつかの設計上の欠陥または監視は、署名リプレイ攻撃への扉を開くことができます。

• 非CEの使用の欠如：非CEは、各トランザクションが一意であることを保証するために1回使用される数です。 Noncesがなければ、署名を再利用できます。
• 貧弱なタイムスタンプの実装：タイムスタンプがあっても、ウィンドウが大きすぎるか、正しく実施されていない場合でも、攻撃者はその期間内にトランザクションを再生できます。
• 不安定な鎖の署名：多くのDefiプラットフォームは、ガスのないトランザクションにオフチェーン署名を使用しています。これらがドメイン分離またはリプレイ保護で適切に保護されていない場合、それらは簡単なターゲットになります。
• EIP-712または同等の標準の使用の失敗： EIP-712のような構造化データ署名基準は、ドメイン固有の署名を他の場所で誤用することができないようにすることにより、追加の保護層を提供します。

これらの脆弱性は、展開前の堅牢な暗号化の実践とスマートコントラクトの徹底的な監査の重要性を強調しています。

署名リプレイ攻撃に対する予防技術

署名のリプレイ攻撃を防ぐためには、効果的な対策を実装することが重要です。開発者とプロトコル設計者は、トランザクションの独自性を確保し、デジタル署名の誤用を防ぐために、ベストプラクティスを採用する必要があります。

• nonces：各トランザクションまたはメッセージには、新しい相互作用ごとに増分する一意のノンセを含めて、再利用を防ぐ必要があります。
• タイムスタンプを強制する：署名されたメッセージの厳密な有効性ウィンドウを設定し、予想される範囲外のメッセージを拒否します。
• ドメイン分離：異なるタイプのメッセージに異なるドメインまたはコンテキストを適用して、あるコンテキストで有効な署名を別のコンテキストで使用できないようにします。
• EIP-712を活用：署名を特定のアプリケーションコンテキストに拘束する構造化データ署名基準を採用し、リプレイを効果的にします。
• 使用されている署名トラック：既に使用されている署名またはハッシュのレジストリを維持して、重複を検出およびブロックします。

これらの戦略を統合することにより、開発者は署名リプレイ攻撃を成功させる可能性を大幅に減らすことができます。

よくある質問

署名リプレイ攻撃とトランザクションリプレイ攻撃の違いは何ですか？

署名リプレイ攻撃は、暗号化署名自体を具体的に標的にし、異なるトランザクションまたはコンテキストで再利用しようとします。一方、トランザクションリプレイ攻撃には、多くの場合、さまざまなブロックチェーンネットワーク（ハードフォークの後）でトランザクション全体を再放送することが含まれます。

ハードウェアウォレットは、署名のリプレイ攻撃を防ぐことができますか？

ハードウェアウォレット自体は、署名のリプレイ攻撃を防ぎません。ただし、プライベートキーを安全に保存し、トランザクションを公開せずに署名します。リプレイ攻撃を防ぐ責任は、ウォレットではなく、プロトコルまたはスマートコントラクトロジックにあります。

Bitcoinは署名のリプレイ攻撃を受けやすいですか？

Bitcoinは、各入力が特定の出力を参照するUTXOベースのモデルを使用して、単純な署名リプレイを効果的ではありません。ただし、フォークまたはサイドチェーンの実装中に、チェーン間のトランザクションリプレイが発生する可能性があります。これらは厳密に署名のリプレイではなく、トランザクションレベルのリプレイです。

すべてのイーサリアムベースのアプリケーションは、署名リプレイ攻撃に対して均等に脆弱ですか？

いいえ。NONCES、タイムスタンプ、構造化された署名（EIP-712）などのリプレイ保護メカニズムを実装するアプリケーションは、はるかに脆弱ではありません。追加のセーフガードなしで基本的な署名検証に依存する人々は、より高いリスクにさらされています。