Key Takeaways
ビットコイン・ネットワークの主要なクライアント・ソフトウェアであるBitcoin Coreに高深刻度の脆弱性が発見され、マイナーがパッチ未適用のノードをクラッシュさせる可能性があることが、2026年5月6日の開発者による公開情報で明らかになりました。1年以上前にパッチが配布されたにもかかわらず、ネットワークノードの推定43%がいまだにこのバグにさらされたままとなっています。
公式通知によると、CVE-2024-52911と名付けられたこの脆弱性は、MITデジタル通貨イニシアチブのCory Fields氏によって発見された「Use-After-Free」メモリ・エラーです。Fields氏は2024年11月2日にこの問題を非公開で報告し、悪意のある攻撃者に悪用される前に、開発者が密かに修正プログラムをリリースすることを可能にしました。
このバグは、Bitcoin Coreのバージョン0.14.0から28.xまでのすべてに影響します。十分なハッシュパワーを持つマイナーが、特別に細工された無効なブロックを送信した場合、このバグが誘発され、脆弱なノードがクラッシュする可能性があります。この欠陥はメモリ・エラーであるため、公開された情報ではリモートコード実行の可能性も排除できないとされています(ただし可能性は低い)。修正プログラムは、2025年4月にリリースされたBitcoin Coreバージョン29.0に含まれています。
主なリスクはネットワークの安定性です。攻撃が成功すれば、ノードの大部分がオフラインになる可能性があります。この攻撃には「コスト」という抑制要因があります。マイナーが無効なブロックを採掘するには、膨大なプルーフ・オブ・ワーク(PoW)リソースを消費する必要があり、そのブロック報酬を放棄しなければなりません。しかし、Clark Moodyのダッシュボード・データによると、依然として約43%のノードが脆弱なソフトウェアを実行しており、この公開情報は、分散型エコシステムにおけるアップデート調整の継続的な課題を浮き彫りにしています。
CVE-2024-52911への対応は、責任ある公開(Responsible Disclosure)のケーススタディとなります。2024年11月の非公開報告の後、Bitcoin Core開発者のPieter Wuille氏はわずか4日後に隠密に修正プログラムを提出しました。潜在的な攻撃者に脆弱性を悟られないよう、意図的に誤ったラベルが付けられていました。この修正は2024年12月にマージされ、2025年4月に出荷されました。開発者らは、脆弱な最後のソフトウェアバージョンである28.xが正式にサポート終了(EOL)を迎えた後の2026年5月まで、公開を待ちました。
X(旧Twitter)への投稿で、開発者のNiklas Gögge氏は、このプロジェクトが約2年間にわたって公開してきたセキュリティ・アドバイザリーの中で、これが「史上初のメモリ安全性に関する問題」であると指摘し、責任ある公開プロセスを主導したFields氏を称賛しました。このバグはビットコインのコンセンサス・ルールに影響を与えず、オンチェーンの変更も導入していません。
この事件は、ネットワークのセキュリティと安定性を確保するために、ノード運営者がソフトウェアを最新バージョンに更新し続けることの極めて重要な重要性を強調しています。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。
