NiceHash QuickMinerはお客様と、お客様のPCおよびデータを安心・安全に保つため、以下のセキュリティ対策を行っています。
すべてのコード、ライブラリおよびリンクされたライブラリは以下に該当します:
NiceHash開発者によって開発されたもの、オープンソースとして (当社の配布モデルでの使用を許可する特定のライセンスの下で) 公的に利用可能なもの、Microsoftによって信頼されているもの (NVIDIAドライバなど) 、作成されてから長い時間が経過していて多くのアプリで使われているため多くの人が安全であると考えているもの (たとえばCPUマイニングを有効化すると、WinRing0x64.sysという特別なドライバがダウンロードされて起動します。当社ではこのドライバのソースコードを持っていませんが、このドライバは署名されたものであり、13年程の歴史があるため、無害なものであろうと考えています)。
NiceHashからリリースされたものはすべて、SHA1とSHA256のハッシュ値が公開されているため、本物のZIPパッケージをダウンロードしたかどうか、GitHubとダウンロードしたPCの間でファイルに相違がないかを確認することができます。詳細はこちら。
NiceHash QuickMinerおよびExcavatorはによって確立される接続は、いかなるサービスへの接続においても必ず強制的にHTTPSとなります。非HTTPSや、最新の暗号化規格に対応していないサーバーは拒否されます。これは非常に重要なことで、いかなる種類のMITM (中間者攻撃) も防ぎ、お客様のハッシュレートが別のサーバーにリダイレクトされたり、潜在的な攻撃者が悪意のあるアップデートを提供したりすることを防ぐことができます。
EVコードサイニング証明書についての詳細はこちら。実用上の理由から、安定版リリースのみが完全に署名されています。インストーラーは常に署名されています。署名されたインストーラーは、インストールしているソフトウェアが攻撃者からのものではなく、本当にNichHashからのものであるとの確信を与えます。インストール・アップデートパッケージの信頼性は、次で説明するセキュリティ機能によって保証されています。
新しいソフトウェアをダウンロードする場合、信頼性は常に問題となります。既存のソフトウェアは、ダウンロードされて実行される新しいソフトウェアが信頼できるものであるかを知る必要があります。この目的のために、当社が独自に開発したN/M署名を利用します。アップデートが本物であるかを判断するためには、3つの署名認証が必要です。このセキュリティ機能により、たとえ潜在的攻撃者がNiceHashのGitHubリポジトリ全体をコントロールしたとしても、悪意あるアップデートを強要されないことが保証されます。このセキュリティ機能はバージョン0.4.5.3から利用可能です。
バージョン0.4.5.0から、Excavator.exeはCORSを許可しなくなりました。これにより、もし悪意あるウェブサイトを開いてしまっても、攻撃者がお客様のマイニングアドレスの代わりに自分のマイニングアドレスに向けてマイニングさせるコマンドが実行されることはなくなりました。書き込み型コマンドについては、認証トークンを利用することで追加のセキュリティレイヤーが提供されています。