セキュリティ研究者が、特定の YubiKey 5モデルに理論上クローニングを可能にする脆弱性を発見しましたが、専門家はほとんどのユーザーにとって実際のリスクは低いと示唆しています。
 |
|---|
| 最近発見された脆弱性の影響を受けるハードウェアを示す、 YubiKey 5C セキュリティキーのクローズアップ写真 |
脆弱性について
NinjaLab の研究者たちは、 YubiKey 5デバイスで使用されている Infineon SLE78 マイクロコントローラーの暗号化の欠陥を悪用するサイドチャネル攻撃を特定しました。この脆弱性は、重要なアカウントの多要素認証にこれらのキーを使用している何百万人ものユーザーに潜在的に影響を与える可能性があります。
影響を受けるデバイス
ファームウェアバージョン5.7未満の以下の YubiKey 製品が影響を受けます:
- YubiKey 5シリーズ
- YubiKey 5 FIPS シリーズ
- YubiKey 5 CSPN シリーズ
- YubiKey Bio シリーズ(5.7.2未満)
- Security Key シリーズ
- YubiHSM 2(2.4.0未満)
攻撃:高度で資源集約的
脆弱性は懸念されますが、これを悪用するには以下が必要です:
- YubiKey の物理的な所持
- 特殊な機器(オシロスコープ)
- 高度な技術知識
- 相当な時間とリソース
NinjaLab は、必要な機器のコストを約1万ドルと見積もっており、ハイエンドのセットアップでは4万ドルに達する可能性があります。
Yubico の対応
Yubico はこの脆弱性を認め、問題に対処した更新されたファームウェア(バージョン5.7以降)をリリースしました。ただし、キーの改ざん防止性のため、既存のデバイスにパッチを適用することはできません。
心配する必要はあるか?
脆弱性にもかかわらず、セキュリティ専門家は、 YubiKey の使用がパスワードのみに頼るよりもはるかに強力な保護を提供すると強調しています。攻撃の高度な性質から、ほとんどのユーザーにとって広範な脅威となる可能性は低いと考えられます。
ユーザーがすべきこと
- Yubico Authenticator アプリを使用して YubiKey のバージョンを確認する
- 影響を受けるモデルを使用している場合、重要なアプリケーションについては新しいバージョンへのアップグレードを検討する
- YubiKey は依然として一般的な攻撃ベクトルに対して強力な保護を提供するため、引き続き使用する
より広範な影響
発見された脆弱性は、 YubiKey を超えて、電子パスポートや暗号通貨ハードウェアウォレットを含む、 Infineon SLE78 マイクロコントローラーを使用する他のデバイスにも及ぶ可能性があります。問題の全容を把握するためのさらなる研究が進行中です。
YubiKey 5の脆弱性は、完璧なセキュリティソリューションは存在しないことを思い出させますが、同時に継続的なセキュリティ研究の重要性と、堅牢な防御層を構築するためのハードウェアベースの認証の価値も強調しています。