Viceによると、先日Franの記事でも少し触れたNFTマーケットプレイスのOpenSeaにおいて、NFT作品を閲覧しただけで出品者からIPアドレスを抜かれる脆弱性が確認されたそうです。
The NFT shows how viewers of NFTs on marketplaces like OpenSea may unexpectedly expose their data. https://t.co/m0ZGv7tfOK
— Motherboard (@motherboard) January 27, 2022
ViceがVPN経由で検証したケースでは、出品されていたNFT作品そのものに使用していたIPアドレスが表示されたそうで、これらはNFTに組み込まれるコードを利用して行われるXSSというサイバー攻撃に用いられる手法が使われているとのこと。
自分も該当のページにアクセスしたところ本来であればNFTイメージが表示されるべき箇所に自身のIPが表示されることを確認しました。
サイト訪問者のIPをサイト運営者が閲覧できること自体は通常行われていることで何も問題はありませんが、第三者である悪意ある出品者に生のIPが抜かれることはセキリティ上大きな問題があることは言うまでもありません。
いまのところOpenSeaはサイトではなくNFTそのものの脆弱性として捉えていることから、これらの疑わしいNFTを削除する気配も見られず、別メディアのTheGamerはIPを抜かれる以上の危険性も考慮すべきであると注意を促しています。
当ブログではNFT関連の話題を扱うつもりはありませんが、記事でOpenSeaに触れた手前、注意喚起としてこの記事を書いています。
