ハードウェアウォレットTrezor社が競合のLedger社へ反論

仮想通貨のハードウェアウォレットを製造するLedger社が、競合他社でシェア争いをするTrezor社の製品に5つの脆弱性があることを3月11日に発表したが、それに対するTrezor社からの反論が12日に発表された。

冒頭の見出しが「Too long, did not read」

「長すぎ、読んでない」という翻訳が正しければ、大人げない見出しで始まるTrezor社の反論は、指摘された攻撃がどれも遠隔操作で行われる可能性がないことが強調されている。

また指摘された攻撃方法はすべて物理的なアクセス、特殊な機器、時間および技術的な専門知識が必要で可能性が非常に低いとしている。

バイナンスと共同で実施した調査

また反論発表の中で、バイナンスと共同で実施された最近の調査では、ハードウェアウォレットユーザーにとって、66%のユーザーがリモート攻撃を主な脅威と見なしており、物理的なアクセスが必要とする脅威は6%だと調査結果を引用している。

Trezor社の公式発表より

 
この物理的なアクセスが必要とする6%の脅威に対しては、PINコードを使用して保護することができるとしている。またどんなセキュリティを備えたハードウェアウォレットであっても、5ドルのレンチを持った犯罪者に脅迫され、PINコードを要求されればハッキングが成功してしまうことも指摘している。

指摘された脆弱性に一つずつ反論

Trezor社の公式発表より

問題点1 輸送上の攻撃
製品の輸送上の攻撃はTrezor製品だけではなく、すべてのハードウェア機器にとって消えることのない問題です。製品を検品して本物であることを検証する方法はありません。また当社の製造はすべてEU基準に基づいており、製造プロセスを厳密に管理しています。

問題点2 ソフトウェア攻撃
ソフトウェアについて2つの問題を発見しました。悪用されることはありませんが念のため修正しました。Trezorのコードが高品質だと再度確認してくれたLedger社に感謝します。

問題点3 サイドチャネル攻撃 PIN
PINコードをサイドチャネリングするのは非常に印象的でした。Ledger社の努力を称賛し、責任を持って開示してくれて感謝します。この問題はデータを保存する方法を取り解決しました。

問題点4 サイドチャネル攻撃 スカラマルチプリケーション
この指摘は攻撃者がPINコード、物理的なアクセス、そしてパスフレーズを持っていることを前提としています。それらがあればすべての資金をハッキングすることができます。

問題点5、6 マイクロチップへの攻撃
この問題を公表しないようにLedger社から依頼があったにも関わらず、Ledger社が公表したことに驚きました。この問題はハードウェアウォレットだけの問題ではなく、医療業界や自動車業界などマイクロチップを使う業界全体に影響するからです。現時点でLedger社がマイクロチップ製造業者と交渉中です。ただこの攻撃には、実験室レベルの装置や、専門知識など多くの労力が必要なことが分かっています。この問題については重要な情報も含まれているため詳細の公表は控えます。いずれにせよこの問題を公にする時期が早かったようです。
Trezorユーザーはリカバリーフレーズに加えてパスワード設定をオススメします。追加するパスワードはこのような侵入経路に対して機能します。

騒動は収まるか

ところどころ感情的な反論も見受けられるが、ハッキングの可能性が限りなく少ないことを一つずつ解説している。

ハードウェアウォレットを製造する両社にとってセキュリティは非常に重要な問題だが、こういったやりとりは両社の印象を悪くしている側面もあるのではないだろうか。この件が今回の発表で収まるのか。今後も発表があり次第レポートしたい。

参考:Trezor:Our Response to Ledger’s #MITBitcoinExpo Findings

TREZOR紹介用URL 480×100

Close Menu