分散型SNSプロトコル「Nostr」に対する世界初の包括的な安全性評価を実施

ハッキング対策で最難関の国際会議Black Hat USA 2025 Briefingsで講演

情報通信研究機構　広報部

2025/8/4 14:00

2025年8月4日

国立研究開発法人情報通信研究機構（NICT）

国立大学法人大阪大学

日本電気株式会社

兵庫県立大学

ポイント

■　世界で約110万人が利用する分散型SNSプロトコル「Nostr」に対する世界初の包括的な安全性評価を実施

■　投稿の改ざんやなりすましなどにつながる重大な脆弱性を特定、攻撃を回避するための対策手法を構築

■　ハッキング対策で最難関とされる国際会議Black Hat USA 2025 Briefingsで講演予定

　国立研究開発法人情報通信研究機構（NICT（エヌアイシーティー）、理事長: 徳田英幸）、国立大学法人大阪大学（総長: 熊ノ郷淳）、日本電気株式会社（NEC、取締役代表執行役社長兼 CEO: 森田隆之）、兵庫県立大学（学長: 髙坂誠）から成る共同研究チームは、世界で約110万人が利用する分散型SNSプロトコル「Nostr」に対して、世界で初めて包括的な安全性評価を「仕様解析、実装調査、概念実証」の手法を用いて実施しました。投稿の改ざんやなりすまし、暗号化ダイレクトメッセージの復元などにつながる重大な脆弱性を特定し、これらを突く攻撃シナリオをハッカーに先駆けて設計し、その有効性を検証するとともに、対策手法を構築しました。これらの安全性評価の結果及び対策手法を各アプリ開発者へ報告し、プロトコル設計全般に対する改善点を示しました。

　本成果をまとめた論文が学術会議 IEEE EuroS&P 2025 に採録されるとともに、ハッキング対策で最難関とされる産業系国際会議Black Hat USA 2025 Briefingsでの講演が決定しており、学術界と産業界の双方から高い評価を受けています。

背景

　これまでのSNSは、Xに代表される中央集権型のものが主流であり、サービスの提供からデータ管理までの多くをプラットフォーム運営者に委ねることが一般的でした。しかし近年、プラットフォーム運営者の意向を強く反映したアルゴリズム改変やトレンド情報の操作に加え、プライバシーやセキュリティのリスクに係る懸念から、新たな選択肢として分散型SNSが注目され始めています。分散型SNSでは、異なる運営者によって管理されている複数のサーバを通じてサービスが提供されており、ユーザは信頼できる運営者を選んで利用できます。プライバシーやセキュリティの設定においても、高い自由度を持つのが特徴です。

　分散型SNSプロトコル「Nostr」を採用するアプリの普及が進む一方で、その仕様と実装の複雑さから十分なセキュリティ検証が行われていませんでした。そのため、ハッカーからいつ攻撃を受けるかわからず、早急に対策する必要がありました。

今回の成果

　本研究では、分散型SNSプロトコル「Nostr」とそのクライアントアプリを対象に、「仕様解析、実装調査、概念実証」の手法を用いて包括的な安全性評価を行いました（図1参照）。複数のプロトコル設計間の連携不足といった構造的な問題が重なることで、投稿やプロフィールの改ざん、なりすまし、暗号化されたダイレクトメッセージの偽造や復元、送金用情報の書き換えなどにつながる重大な脆弱性を創出することを特定しました。これらの脆弱性を突く、具体的な攻撃シナリオをハッカーに先駆けて8種類設計し、Pythonによる実証コードを用いて攻撃シナリオの有効性を検証しました。

　これらの安全性評価の結果は、2023年6月及び2024年1月に各アプリ開発者へ報告し、連携を開始しました。その際、攻撃シナリオを回避するための対策手法を提案するとともに、プロトコル設計全般に対する改善点を示しました。現在、これらの対策は主要クライアントアプリにおいて段階的にパッチ適用や機能改修が実施されています。