Kraken

クラーケン
セキュリティラボ

クラーケンは、最も安全な暗号資産取引所です。クラーケンにとってセキュリティは息をするくらいに当然のことです。実際、クラーケンには、もっぱら製品とサービスの試験に携わるワールドクラスのチームが複数あります。 

 

しかし、自社がどれほど安全であっても、自社の成功は暗号資産コミュニティを構成する他のメンバーの成功に結びついているということも分かっています。

Kraken Security Labs

クラーケン
セキュリティラボ

それこそが、セキュリティ研究者のエリートチームクラーケンセキュリティラボを創設した理由です。このラボは、次のよって暗号資産エコシステムを保護し成長させることを目指しています。

Beaker

一般的なサードパーティーの製品とサービスのテスト

Tools

問題修正のためのベンダーとの協力

Loudspeaker

一般ユーザーが自分で保護する最善の方法についての情報提供

責任ある開示へのコミットメント

セキュリティ研究者が脆弱性を発見した場合のベストプラクティスは、ベンダーに連絡を取って問題を修正してもらうことです。

 

理論的には単純なことであっても、問題の多くは実地に発生します。

 

影響を受けたベンダーが対応しない場合はどうしますか?

 

ベンダーがその問題を認めたくないと考えるか、バグバウンティープログラムを持っていないことも考えられます。

 

 

問題の修正のために、ベンダーに与えられる時間はどれくらいでしょうか?

 

セキュリティの問題には修正が容易でないものもあり、ベンダーはしばしば問題の修正よりも新機能を優先したいと考えます。

 

 

研究者は問題を一般に開示しているとすれば、それはいつでしょうか?

 

ホワイトハットはっかーはみな、自分が発見した問題が既知のもので、悪意のある人物が悪用しているのではないかと心配しています。ベンダーがまだ修正版を公開していない間、一般ユーザーはそれについて何も知らず、自らを守るための知識の武装がない状態です。研究者がベンダーに問題を修正するように圧力を加えるには、一般への開示が唯一の武器です。

Kraken Security Labs

単純に言って、責任を持って脆弱性を開示することは、誰にとっても違いをもたらすものです。ベンダーとユーザーのニーズのバランスを取ることは、本質的に困難なのです。 

 

クラーケンでは、研究チームが製品中の問題を修正し開示するために、ベンダーと手を結ぶことが極めて重要だと強く信じています。

 

その目的の追求において、クラーケンセキュリティラボは、幅広い暗号資産の製品とサービス全体の問題を修正するため、問題を開示しベンダーと協働してきました。クラーケンの脆弱性開示方針の詳細については、こちらをご覧ください。 

暗号資産ハードウェアウォレット

クラーケンでは、当社のものを含め、取引所に資金のすべてを保管する必要はないと考えています。 

 

自らの暗号資産を保管しセルフカストディによって管理する能力をお客様に提供する製品をクラーケンがたびたび購入しテストしているのは、そのためです。 

 

クラーケンでは、下記の製品についての問題と勧告を公開しています。

暗号資産サービス

クラーケンでは、すべてのお客様に対して、資産やデータの信託先にする可能性のある暗号資産サービスをテストし検証するようお勧めしています。

 

クラーケンでは、下記のサービスについての問題と勧告を公開しています。

開示についての基本方針

クラーケンセキュリティラボの開示情報について矛盾した情報を聞いていますか? 

 

問題の深刻度について、ベンダーと研究者の意見が一致しないのはよくあるということをご理解ください。 

 

単純に言って、研究者は自分の仕事に最大限に強い影響力を持たせたいと考える一方で、ベンダーは通常、問題の程度を矮小化したいものなのです。 

 

 

深刻度の解釈

 

セキュリティの脆弱性は、通常から重大までの範囲で深刻度が表されますが、クラーケンセキュリティラボやその他の研究者が開示する脆弱性がすべて「重大」なわけではありません。 

 

それでも、こうした不具合を開示するのが重要であるとクラーケンは考えています。

 

片手で収まる程度の深刻度低、中、および高の脆弱性でも、攻撃側が連係した方法で利用すれば、目標のデバイスに大きな影響を及ぼす結果になることもあります。

複合した利点

 

こうした発見を公開することにより、研究をさらに促進することができます。 

 

セキュリティ研究者が、修正すべきだが全面的なセキュリティ侵害を許すほどのものではない問題や、ベンダーが直ちに修正する価値はないと見なしている研究を公開するために、他の研究者の仕事に頼ることはよくあります。 

 

このことからすれば、ある問題について深刻度が「重大」ではないという判断に基づいて何も言わずにいるのは、セキュリティ研究者の責任ではないでしょう。 

 

クラーケンでは、お客様が問題の深刻度に応じて情報を得た上で決断を下せるように、一般ユーザーにとって可能な限り理解しやすく、透明度の高い内容を開示するよう努めています。

フォローしてください!

クラーケンの研究をフォローし、最新の公式発表について知りたい場合は、当社の公式ブログをブックマークするか、メールアドレスを入力して配信登録し、新規投稿の通知をメールで受け取ってください。