ヴィタリック・ホリデー新記事：ディープ・フォージェリーの時代におけるセキュリティー戦略

著者：Vtalik（イーサ、共同創設者）、翻訳：0xjs@GoldenFinance

先週、ある会社が2500万ドルを失ったという記事が拡散しました。.そして、それは非常に説得力のある深い偽のビデオ通話であると思われる。

<

ディープフェイク（人工知能が生成した偽の音声や動画）は、暗号通貨の分野やその他の場所で、ますます頻繁に出現するようになっています。ここ数カ月、私のディープフェイクは、Dogcoinだけでなく、さまざまな詐欺の宣伝に使われてきました。ディープフェイクの質は急速に向上している。2020年のディープフェイクは明らかで恥ずかしくなるほどひどかったが、ここ数ヶ月のディープフェイクはますます見分けがつかなくなってきている。私のことをよく知っている人は、最近の私のビデオのディープフェイクをまだ見分けることができる。しかし、私の声を数回しか聞いたことがない人は、簡単に納得してしまう。

前述した2500万ドルの盗難事件に関するセキュリティの専門家たちは、それが複数のレベルにおける企業運営のセキュリティの稀で恥ずかしい失敗であったことを確認することで一致していた。標準的な慣行では、その規模に近づくような送金が正式に承認される前に、複数のレベルのサインオフを必要とする。しかし、それでも、2024年までには、人の音声やビデオストリームでさえも、その人の身元を確認する安全な方法ではなくなってしまうという事実は変わりません。

そこで、「安全な方法とは何か？

暗号化だけでは問題は解決しない

人々の身元を安全に確認できることは、あらゆる場面であらゆる人々にとって価値があります：社会的に復元された財布やマルチシグネチャーの財布を持つ個人、ビジネス取引を承認する企業、個人的な用途で大口の取引を承認する個人（新興企業への投資、製品購入、住宅購入、送金など）、暗号通貨であろうと不換紙幣であろうと。暗号通貨であろうと不換紙幣であろうと、また家族であっても緊急時にはお互いの身元を確認する必要がある。そのため、偽造が比較的容易に深化するこれからの時代を生き抜くことができる、優れたソリューションを持つことが重要です。

暗号サークルでよく耳にするこの質問に対する答えの1つは、「ENS/Proof of Humanity Profile/公開PGPキーに添付されたアドレスから暗号署名を提供することで、身元を確認できる」というものです。これは魅力的な答えだ。しかし、トランザクションに署名する際に他人を巻き込むことが有用である理由を完全に無視している。あなたが個人でマルチシグネチャーのウォレットを持っていて、何人かの共同署名者に承認してもらいたいトランザクションを送信しているとします。どのような状況であれば連帯保証人はその取引を承認するだろうか？あなたが実際に送金を行いたい人物であると確信している場合です。それがあなたの鍵を盗んだハッカーであったり、誘拐犯であったりしたら、承認しないでしょう。しかしそれでも、攻撃者は管理者を装い、最終的なリクエストだけでなく、承認プロセスの初期段階にも使うことができる。間違ったアドレスを提供することで、進行中の正当なリクエストを乗っ取る可能性さえあります。

そのため、多くの場合、ある鍵で署名すれば、他の署名者はあなたがあなたであることを受け入れることになります！

ここで、実際に理にかなった答えが出てきます。

セキュリティの問題

仮に、誰かがあなたの友達だと言ってメールを送ってきたとします。彼らはあなたが見たことのないアカウントからメールを送っており、すべてのデバイスを紛失したと主張しています。その人が本人かどうか、どうやって判断しますか？

明白な答えがあります：彼らだけが知っている彼らの人生について何かを尋ねることです。

1. 知っている

2. 覚えていてほしい

3. インターネットは知らない

4. 推測するのは難しい

5. 推測するのは難しい

7. 理想的には、企業や政府のデータベースをハッキングしたことがある人でさえ、知らない

彼らに尋ねるのが自然なのは、よくある経験についてです。考えられる例としては、以下のようなものがあります：

• 私たち2人が最後に会ったとき、どんなレストランでどんな食事をしましたか？

• 古代の政治家についてジョークを言った友人は？それはどの政治家だったか？

• 最近見た映画で、あなたが気に入らなかったのは？

• あなたは先週、○○に○○の研究を手伝ってもらう可能性について相談するよう提案しましたね？

最近、誰かが私の身元を確認するために使ったセキュリティ質問の実例です。

質問はユニークであればあるほどよい。数秒間考えなければならず、もしかしたら答えを忘れてしまうかもしれないような質問は良いのですが、もし質問者が忘れてしまったと主張したら、さらに3つの質問をするようにしてください。マクロ」な詳細よりも「ミクロ」な詳細（その人の好きなものや嫌いなもの、具体的なジョークなど）を聞いた方がいいことが多い。マクロな詳細の方が、第三者が偶然掘り起こすのが難しいことが多いからだ（例えば、誰かがインスタグラムに夕食の写真を投稿したとしても、現代のLLMは、その人が何をしたかよりも、何をしているかに興味がある可能性が高い）。インスタグラムに夕食の写真が投稿されても、現代のLLMはその写真をキャプチャし、リアルタイムで場所を提供するのに十分な速さである可能性が高い）。あなたの質問が推測可能である可能性が高い場合（少数の潜在的な選択肢しか意味をなさないという意味で）、別の質問を追加することでエントロピーを増加させます。

人は、安全対策がつまらないと参加しなくなることが多いので、安全に関する質問を面白くするのは健全なことです！質問をすることで、ポジティブな共有体験を思い出すことができます。そのような経験を実際に自分のものにしようという動機にもなる。

補完的なセキュリティの質問

1つのセキュリティ戦略が完璧ということはないので、複数のテクニックを一緒に積み重ねるのがベストだ。

• 事前に合意しておくパスワード：一緒にいるときに、後でお互いを認証するために使える共有パスワードに意図的に合意しておく。

• 強要の言葉にも同意しておく：あなたが強要されている、あるいは脅されているということを相手に静かに知らせる言葉を、文章の中に無意識に挿入することができます。その単語は、使うのが自然だと感じられるほど一般的なものでなければならないが、うっかりスピーチの中に挿入してしまわないような珍しいものでなければならない。

• 誰かがETHアドレスを送ってきたら、複数のチャンネル（SignalやTwitterのDM、企業のウェブサイト、あるいは共通の知人など）を通じて確認するように頼みましょう。"、Telegramの顔文字 および同様の機能は、理解しやすく、注意しやすいものです。

• 1日の制限と遅延：深刻で取り返しのつかない結果をもたらす行動には、単純に遅延を課します。これは、ポリシーレベル（署名する前にN時間または数日待つことに署名者と事前に合意する）またはコードレベル（スマートコントラクトのコードに制限と遅延を課す）で行うことができます

攻撃者が承認プロセスの複数のステップでエグゼクティブやアサイニーになりすます巧妙な攻撃の可能性があります。

セキュリティ問題と遅延の両方でこれを防ぐことができます。

安全に関する質問は、ユーザーフレンドリーでないために失敗する他の多くの技術とは異なり、安全に関する質問は、人間が本来記憶するのが得意な情報を土台にしているため、優れています。私は何年もの間、安全に関する質問を使ってきましたが、これはとても自然で恥ずかしくない習慣の1つであり、他の保護レイヤーに加えてワークフローに組み込む価値があります。

上記の「個人対個人」のセキュリティのユースケースは、「企業対企業」のセキュリティとはまったく異なることに注意してください。たとえば、外国に旅行していて、クレジットカードを17回無効にされた後に、銀行に電話してクレジットカードを再度有効にするときや、40分の煩わしい音楽の待ち行列で待ち終わったときなどです。例えば、あなたが他国に旅行中、クレジットカードを17回利用停止された後、クレジットカードを再有効化するために銀行に電話するとき、40分の煩わしい音楽待ち行列で待った後、銀行の従業員が現れ、あなたの名前、生年月日、そしておそらく過去3回の取引を尋ねます。個人が答えを知っている質問の種類と、企業が答えを知っている質問の種類はまったく異なる。そのため、両者を別々に考える価値があります。

状況は人それぞれなので、認証が必要な可能性のある相手と共有する固有の情報の種類は、人によって異なります。一般的には、人を技術に合わせるのではなく、技術を人に合わせるのがベストです。理想的なアプローチは、複数のテクノロジーを同時に重ね合わせ、その中から最適なものを選択することである。ディープフォージ後の世界では、偽造がいかに容易になったか、そして偽造がいかに困難であるかという新しい現実に、私たちの戦略を適応させる必要があります。