2017.08.22 (Tue) news

SatoshiLabsがTrezorの物理アクセスに対する脆弱性の修正を発表

Written by 平山 翔

Trezor_display_transaction

先週16日水曜日、ビットコインのハードウェアウォレットの開発と販売を行うSatoshiLabsはTrezorのセキュリティアップデートを発表した。声明によれば、Trezorデバイスの物理メモリ(RAM)に直接アクセスすることで、シード鍵を盗み出すことができる脆弱性が見つかり、これを修正したとのこと。

Trezorが抱えていた脆弱性を悪用するには、ケースを破壊しTrezor本体に物理的にアクセスする必要があるため、オンラインからの攻撃に対する脆弱性ではないものの、SatoshiLabsはこれを重大な脆弱性とみなし、全てのユーザーにアップデートを呼びかけている。

ウォレットのシードは、デバイスの再起動によってデータが削除されないフラッシュメモリに保存されているが、Trezor使用時にはRAMにコピーされる。今回修正された脆弱性は、攻撃者がRAMからシードを抜き取るカスタムファームウェアを作り出せるというものだ。この脆弱性に対して、SatoshiLabsはブートローダーがスタート時とファームウェアを呼び出す際に、RAM全体をクリアするよう修正を行った。この修正は今後発売されるデバイスに対して適応される。出荷済みのデバイスに対しては、RAMからの重要情報が常にブートローダーによって上書きされるような修正が施された。自身が保有するTrezorにアップデートが必要かどうかはTREZOR Walletで確認できる。

この脆弱性を突いた攻撃には、Trezor本体の紛失や盗難が伴うため発生確率は低い。とはいえ、仮想通貨の安全な保管のために開発・発売されているハードウェアウォレットにこのような脆弱性が見つかったことにショックを受けているユーザーもいるだろう。これを契機に、ハードウェアウォレットの安全な運用を、ユーザー自身も意識していく必要がある。


TREZOR Blog - Fixing physical memory access issue in TREZOR


無料メールマガジン

BTCNの最新ニュースを毎日お昼ごろお届けします!


まだデータがありません。