クリプト

【悲報】ハードウェア・ウォレットTrezorのハッキング方法が丁寧に解説される

katakoto's icon'
  • katakoto
  • 2018/12/28 11:44

年末年始、何かと忙しいので(仙台から自転車で檻に閉じ込められたクロちゃんを見に行ったり)ALISのオープンβ公開までお休みしようとしていたkatakotoさんの元に、ショッキングなニュースが飛び込んできました。

katakotoさん愛用のハードウェア・ウォレットTrezorのハッキング方法が公開されたと言うのです。過去の連載で現状の暗号通貨の一番安全な保管方法としてTrezorをゴリ押ししてきたkatakotoさんとしましてはこの話題を取り上げずにはおれません。

今回の脆弱性はドイツで行われたテクノロジー・セキュリティに関するカンファレンスの中で、ロシア・アメリカ・ドイツ出身のセキュリティ・エンジニア等で構成された下記のメンバーによって発表されました。

詳細はカンファレンスの終了後、サイト上にまとめるという事でしたが、動画から得られた情報でハッキング方法を簡単に説明するとこんな感じ。

Content image

Trezorくんをばらして、秋葉原の路上に落ちてる道具につないで90日程、電圧いじいじ。総当たりで、ちょうどいい感じの電圧いじいじポイントを発見。これによりブートローダーをだまくらかしての“特権モード”での起動に成功。

しかしながらTrezorでは、復元フレーズはフラッシュ・ドライブに保存されておりいくら特権モードで起動したとは言え、それを読み取ることはほぼ不可能。

そこで彼らが注目したのはファームウェア・アップグレード時の処理。Trezorは、セキュリティに関する信念からソース・コードをオープンソースとして全ての人に公開しているのですが、彼らはそのコードから復元フレーズが一瞬メモリ内に読み込まれる個所を特定。

Content image

あとはその処理が行われるポイントで、メモリ内からデータを丸ごとダンプ。

Content image

こうして丸ごと取り出したデータ内に、復元シードどころかPINコードまでプレーンテキストで表示できたという報告でした。

この際の「一体どんな洗練されたハイテク・ハッキングツールを使って解析したっていうんだい?」「Stringsを使うんだよ!(※Linuxのごくごく一般的なコマンド。データの可読部分をそのまま表示する。)」というドヤ顔でのやり取りがKatakotoさんが2018年一番ムカついたポイントでした。


この報告を受けてTrezor側は、1月末までのファームウェア・アップデートでの対応を約束しています。

この脆弱性に関しては

攻撃者がTrezorデバイスへの物理的接触が必要な事
復元シード+PINコードに加えパスフレーズの追加により防げる事

から、個人的にはそれほど脅威に感じてはいません。

今回は、ソースコードやハードウェア設計図をオープン・ソースにしているTrezor側のまさにその点を突かれてしまったわけですが、僕は個人的にその透明性の高さとセキュリティに対する考え方こそを支持してTrezorを選んだので、今後も応援していきたいと思っています。

(ついでに言っておくとライバルデバイスであるLedger Nanoのハッキング方法もビデオの前半で公開されていますので、Ledgerユーザーの方も油断なりませんよ。なにやらアンテナでタッチ時の微弱な電波を読み取ってました。そこまでやられたらもう僕のALISは持って行っていいよ。)

最後に彼らのセキュリティ・マニフェストから僕が支持したい一文を紹介して終わりたいと思います。それでは皆さん良いお年をお迎えください。来年もALISのクリプトカテゴリにて元気でお会いしましょう。

Nonetheless, security vulnerabilities do sometimes occur; they are inevitable. What is important is the way we face these issues — how we react to them and how quickly we fix them.

Source:SatoshiLabs Security Manifesto

“それでも、セキュリティの脆弱性は時々生じてしまう。それらは決して避けられない。重要なのは、我々がどのように問題に向かい合うかだ。-どのように対応し、いかに迅速に解決するかが大切なのだ。”


公開日:2018/12/28
獲得ALIS:65.36
katakoto's icon'
  • katakoto
  • @katakoto
クリプトバブルの波に乗って年内にキンキンで年収がムーンするはずが、なぜか無職になって🇨🇦にいる。今はなけなしのBTCを削って生計を立てています。いつだって願いは、世界人類が平和でありま文字数。

投稿者の人気記事
コメントする
コメントする
こちらもおすすめ!
Eye catch
クリプト

Eth2.0のステークによるDeFiへの影響を考える。

Like token Tip token
44.10 ALIS
Eye catch
クリプト

コインチェックに上場が決まったEnjin Coin(エンジンコイン)コインを解説

Like token Tip token
21.49 ALIS
Eye catch
クリプト

Bitcoin史 〜0.00076ドルから6万ドルへの歩み〜

Like token Tip token
947.13 ALIS
Eye catch
クリプト

ジョークコインとして出発したDogecoin(ドージコイン)の誕生から現在まで。注目される非証券性🐶

Like token Tip token
38.31 ALIS
Eye catch
クリプト

【初心者向け】JPYCを購入して使ってみました!

Like token Tip token
30.03 ALIS
Eye catch
クリプト

NFT解体新書・デジタルデータをNFTで販売するときのすべて【実証実験・共有レポート】

Like token Tip token
121.79 ALIS
Eye catch
クリプト

【初心者向け】$MCHCの基本情報と獲得方法

Like token Tip token
32.32 ALIS
Eye catch
クリプト

17万円のPCでTwitterやってるのはもったいないのでETHマイニングを始めた話

Like token Tip token
46.60 ALIS
Eye catch
クリプト

バイナンスの信用取引(マージン取引)を徹底解説~アカウントの開設方法から証拠金計算例まで~

Like token Tip token
3.50 ALIS
Eye catch
クリプト

CoinList(コインリスト)の登録方法

Like token Tip token
15.55 ALIS
Eye catch
クリプト

2021年1月以降バイナンスに上場した銘柄を140文字以内でざっくりレビュー(Twitter向け情報まとめ)

Like token Tip token
38.10 ALIS
Eye catch
クリプト

UNISWAPでALISをETHに交換してみた

Like token Tip token
40.40 ALIS