CoinPostで今最も読まれています

Uncipheredがハードウェアウォレットの脆弱性を指摘、 Trezor製品を攻略か

画像はShutterstockのライセンス許諾により使用

ハードウェアウォレットをハック

セキュリティ企業のUncipheredは25日、暗号資産(仮想通貨)ハードウェアウォレット企業Trezorのプロダクト「Trezor Model T」をハッキングできたと主張している。

Uncipheredはウォレットからシードフレーズ(初期設定のパスワード)を解析するまでの過程を、YouTubeで披露した。攻撃者が物理的にハードウェアウォレットを奪った場合に限定されるが、チップを直接操作することで、Trezor Tモデルのハードウェアセキュリティメカニズムを迂回することができると述べている。

具体的には、Trezorのマイクロチップをオリジナルのボードから取り外し、ブレーカーボードにはんだ付けする。その後、デバイスは独自の攻撃手法を用いてTrezor Tを操作し、ファームウェアを抽出。その情報を高性能コンピューティングクラスタにアップロードする。このクラスタには約10台のGPUが搭載されており、一定期間にわたってPINを分析した。

Uncipheredの共同創設者であるEric Michaud氏は、専用のGPUチップを活用することで、最終的にデバイスのPINシードフレーズを解読することができたと主張している。

抽出したファームウェアを我々の高性能コンピューティングクラッキングクラスタにアップロードした。我々は約10台のGPUを保有しており、一定時間経過後にキーを抽出できた。

同社はこのデモを通じて教育機会を提供し、視聴者が何かを学ぶことを期待している。また、Uncipheredはウォレットの解錠に関する支援を提供しており、そのためのフォームが公式サイトに掲載されている。

Michaud氏はまた、この攻撃手法はファームウェアのアップデートでは修正できないため、Trezor Tのこの攻撃手法を修正するには、全製品をリコールする必要があると指摘。新製品に新しいチップが組み込まれるという噂を聞いており、その影響を確認する方針を示した。

関連:Ledger、オープンソース化計画を前倒し 信頼性回復を図る

Trezor側の主張

一方Trezorは、この脆弱性が新しいものではないと主張している。Uncipheredのデモの内容は、2020年初頭にKraken Security Labsの研究者たちが発見したRead Protection Downgrade(RDP)という脆弱性と類似性があると認めている。

RDPダウングレード攻撃は、Trezor OneやTrezor Model Tなどのハードウェアウォレットに使用されるSTM32マイクロチップのハードウェア脆弱性を狙った攻撃手法。この攻撃では、特殊なハードウェア、知識、物理的なアクセスを持つ攻撃者がSTM32マイクロチップの電圧を操作(グリッチ)し、設定された保護を迂回してフラッシュメモリの内容を抽出する。

「Read Protection Downgrade(RDP)」という名前は、この攻撃がマイクロチップの読み取り保護レベルを下げる(ダウングレード)ことにより、通常は保護される情報を不正に読み取る能力を持つことを示している。

TrezorのTomáš Sušánka CTO(最高技術責任者)は、RDPリスクがあっても、デバイスの物理的な盗難と極めて高度な技術的知識、先進的な装置が必要で、しかもデバイスを保護するパスフレーズ機能が有効化されていない場合にのみ、攻撃は成功すると語っている。パスフレーズは、既存のリカバリーフレーズにユーザーが独自に選んだ追加の単語を付け加えることで、全く新しいアカウント設定を設ける機能だ。

強固なパスフレーズがあれば、攻撃成功の可能性は完全に排除される。デバイスに対する物理的な攻撃を恐れるユーザーは、アカウントを保護するためにパスフレーズ保護の作成と使用方法を学ぶことを推奨する。

Trezorは海外仮想通貨メディアThe Blockへのコメントで、姉妹会社であるTropic Squareと共同でハードウェアウォレットの新しいセキュリティ構成を開発し、RDP攻撃の問題を解決するための計画を進めていると述べた。

Tropic Squareは今年2月に、初の試作品バッチ「TROPIC01チップ」の初期テストが成功し、生産段階に近づいたと発表した。このチップは攻撃者が物理的にデバイスにアクセスし、その中の情報を盗んだり操作したりする物理的な攻撃に対する耐性などが付加されている。

ハードウェアウォレットとは

秘密鍵を保管したデバイスのこと。デバイスそのものがウォレットなわけではなく、デバイスにはウォレットへアクセスするための秘密鍵が保管されている。パソコンに専用のアプリをインストールして、そこに外部デバイスを接続して管理する。パソコンに繋げていない間はインターネットに繋がっていないオフラインウォレット(コールドウォレット)になる。

▶️仮想通貨用語集

関連:Trezor、ウォレットチップのサプライチェーン管理へ

『超早割』終了まで
0
0時間
0
0
さらに!! CoinPost読者限定割引コード提供中!
クリックしてコードをコピー
CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
05/24 金曜日
06:10
米SECがイーサリアム現物ETF発行企業と対話開始、S-1フォームめぐり
Galaxy Digitalのレポートによると、仮に承認されれば、7月か8月に取引所に上場され取引を開始する可能性が高い。
05:30
コインベース、仮想通貨XRPの取扱いをニューヨーク州で再開
2023年7月に裁判におけるRipple Labsの部分的勝利を受けニューヨーク州を除く他の州でXRP-USD・XRP-USDT ・XRP-EURの3通貨ペアで取り扱いを再開した経緯がある。今回は、これまで対応できなかったニューヨーク州での再開を実現した格好だ。
05/23 木曜日
14:45
ブリリアンクリプト、Coincheckで「つるはしNFT」のINOを29日から開催
BrilliantcryptoがCoincheck INOでつるはしNFTの販売を開始へ。IEO参加者には優先購入権が付与されるなど、販売詳細が明らかに。暗号資産(仮想通貨)交換業者を通じて、新たなブロックチェーン資産にアクセスする機会。
13:55
「パラレル」カードゲーム、日本楽天ブックス提携でカードや漫画を流通へ
楽天ブックスはパラレルと提携することで、日本におけるカード、コミック、玩具などの販売代理店として、世界最大級のTCG市場に参入する橋渡しとなる。
13:35
韓国最大手アップビット、オアシスの新規上場を発表 OAS急騰
韓国トップの暗号資産(仮想通貨)取引所アップビットが、新規にオアシス(OAS)の取扱いを発表。OASは44%急騰している。OASはグローバル展開を進めており、バイナンス、コインベースなどトップ市場への上場に期待も高まる。
11:45
イーサリアムに続く現物ETFはソラナになる可能性 識者が議論
仮想通貨投資企業BKCMのブライアン・ケリーCEOは、仮にイーサリアム現物ETFが承認された場合、次に続くのはソラナになるだろうと意見した。
10:45
香港当局、ワールドコインを個人データ条例違反と指定
香港の個人データ保護当局は、仮想通貨プロジェクト「ワールドコイン」が条例に違反しているとして、虹彩データ収集活動などの停止を命じた。
10:10
NTT Digital、新プロジェクト「web3 Jam」を立ち上げ
ブロックチェーンを活用して円滑な企業連携を目指すプロジェクトweb3 Jamの立ち上げをNTT Digitalが発表。立ち上げの背景や今後の計画を説明している。
07:45
SECゲンスラー委員長反対も、仮想通貨重要法案「FIT21」は下院通過
米バイデン政権とSECのゲンスラー委員長は仮想通貨法案「FIT21」に反対を表明。どちらも投資家保護のルールが不十分だと主張している。
07:25
WisdomTree、イギリスでビットコインとイーサリアムETP上場承認を取得
米資産管理会社ウィズダムツリーは、仮想通貨ビットコインとイーサリアムの現物上場取引型金融商品をロンドン証券取引所に上場する承認を英金融当局から受けた。
06:55
仮想通貨ウォレット「メタマスク」、ビットコイン対応へ
ついにビットコインサポートか 暗号資産(仮想通貨)ウォレットのMetaMask(メタマスク)は、ビットコインへの対応を導入する予定のようだ。 公式発表はまだされていないが、Co…
06:05
ナスダック、ブラックロックのイーサリアム現物申請ETFフォームを更新
ナスダックによる書類の更新内容は、これまでアークやフィデリティなどのものに類似し、仮想通貨ETH保有資産のステーキングを行わないことを明記している。
05:50
エヌビディア純利益7倍の好決算、AI関連の仮想通貨銘柄連れ高
半導体大手エヌビディアの好決算を受けて、FETやRender、AR、AGIX、TAOなどの仮想通貨AI関連銘柄は全面高になった。
05/22 水曜日
16:43
暗号資産ステーキング報酬国内No.1のビットポイント、新たにSOL(ソラナ)を追加
暗号資産(仮想通貨)ステーキング報酬国内No.1のBITPOINT(ビットポイント)は、人気銘柄のソラナ(SOL)を新たに追加することを発表した。ビットポイントを利用するメリットについて解説。
15:34
米下院、包括的な仮想通貨法案「FIT21」採決へ 規制不確実性の解消目指す
米国連邦議会下院は22日、米SEC(証券取引委員会)の監督権限などを明確にすべく仮想通貨業界にとって大きな節目と指摘される「金融イノベーション・テクノロジー法」(FIT21)の採決を行う予定だ。超党派の支持を得ているため、承認が期待されている。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア