XRPレジャー、JSライブラリに脆弱性発見｜秘密鍵窃取の恐れ

XRP Ledger Foundation（XRPレジャー・ファウンデーション）は22日、公式JavaScriptライブラリ「xrpl.js」の最新バージョンの一部に重大なセキュリティ脆弱性が存在する可能性があることが明らかになった。

この脆弱性は、攻撃者がユーザーの秘密鍵を盗むことを可能にする可能性があり、深刻なサプライチェーンリスクをもたらす。

問題はNode Package Manager（NPM）で公開されたバージョンにのみ影響し、修正版のv4.2.5がリリースされているため、影響を受けるプロジェクトは直ちに更新することが推奨される。

脆弱性の詳細と背景

この脆弱性はバージョン4.2.1から4.2.4、およびv2.14.2に存在し、NPMプラットフォームを通じて導入されたものである。

セキュリティ上の欠陥は、高度な攻撃者がオープンソースパッケージに悪意のあるバックドアを仕掛け、ユーザーの秘密鍵を盗むように設計されており、ライブラリを使用する暗号資産（仮想通貨）ウォレットへの不正アクセスを可能にするものだった。

オープンソースとサプライチェーンのリスク

今回の事件は、特にエコシステムアプリケーションに広く組み込まれているオープンソースソフトウェアライブラリにおける、重要なサプライチェーンリスクを浮き彫りにしている。

この出来事は、NPMのような共有リポジトリで公開されているサードパーティパッケージへの依存に内在する脆弱性を改めて示すものだ。そこでは、攻撃者が悪用されるまで気づかれずに悪意のあるコードを注入できる可能性がある。

対応と今後の見通し

XRP Ledger Foundationはこの脆弱性に対応し、侵害されたバージョンをコードリポジトリから速やかに削除し、修正版のバージョン4.2.5をリリースした。

影響を受けるバージョンの開発者とユーザーには、継続的なリスクを軽減するために直ちに更新するよう強く要請されている。

この脆弱性を発見したセキュリティ調査会社Aikido Securityは、これを高リスクなサプライチェーン攻撃と表現し、より広範な仮想通貨エコシステムへの壊滅的な影響の可能性を強調した。

セキュリティ侵害のニュースにもかかわらず、仮想通貨XRP XRP 1.30%の価格は回復力を示し、2025年4月22日には3.5%以上の上昇で取引を終え、XRP Ledgerネットワーク全体に対する市場の強い信頼を反映した。

XRP Ledger Foundationは、調査が完了次第、バックドアがどのように導入され悪用されたかを概説する包括的な事後報告書を公開する予定であり、コミュニティの透明性と将来の保護措置の強化を目指している。

今回の事件は、ユーザーが仮想通貨ウォレット情報を参照し、自身の資産を守るためのセキュリティ対策を再確認する良い機会となるだろう。