ハードウェア・ウォレットTrezorに5分内にシードが抜かれるパッチ不可能な脆弱性【対応策有】

 

Katakotoさんもこのモデルのユーザーなので一応注意喚起しておきます。

パッチ修復不能なTrezorからのシード抜き取り:実践的かつ確実性の高いアタック

“デバイスを盗んだ攻撃者は、Trezorからシードを抜き出す事が可能。抜き取りに5分もかからず、必要になる装置は100ドルほどで作成可能。”

この脆弱性を指摘したのはTrezorとライバル関係にあるLedgerのセキュリティ・リサーチチーム Ledger Donjon

結構、衝撃的なニュースですが、Trezor本体が物理的に盗まれてしまった場合の脆弱性は以前にも他のリサーチチームから指摘されていたもので


Trezor側からの今回のケースへの対応策も、その当時に出された声明と変わっていません。

“慌てるな。パスフレーズを設定しろ。”

Content image
Source:https://blog.trezor.io/passphrase-the-ultimate-protection-for-your-accounts-3a311990925b

☝️ご覧のように、万が一あなたのTrezor本体が盗まれ、シードが抜き取られてしまっても、あらかじめパスフレーズを設定しておけば、クラッカーは資産を保管してあるウォレットにたどり着くことはできません。

というわけで、ドヤ顔で説明していながらパスフレーズを全然設定していなかったKatakotoさんも慌ててやっておきました。

Content image

パスフレーズはメニューの高度(Advance)設定から設定可能です。

Content image
怖い事が書いてあるけど、まじでパスフレーズ忘れないでね!

Trezor本体の“Confirm”を押して進めます。

Content image

一回、Trezor本体をPCから取り外して・・・もっかい挿入・

Content image

パスフレーズを入力して“決定”を押します。※パスフレーズは大文字・小文字を区別するので注意!

Content image

パスフレーズが設定された空っぽのウォレットが開きます。

おい!俺の資産が入ってたウォレットどこいった!!??

安心してください。再度Trezorを指しなおしてパスフレーズの入力を求められたら、空のまま“決定”ボタンを押せば、パスフレーズを設定してない状態で使っていたウォレットが表示されます。

Content image

ほら!僕の大事な50DOGEコインが返ってきた!

Content image

パスフレーズ自体はどこにも保存される事はないため、上にあるような攻撃でも絶対に抽出不可能なので安全ですね。これに関しては、今回の脆弱性を警告しているセキュリティ・チームも“唯一の対応策”として認めています。

"there is only one mitigation: the use of a long passphrase. ~中略~ a passphrase of about 37 random characters is required to guarantee the same security level as the 24 words seed."

唯一のリスク軽減策:長いパスフレーズの利用です。約37文字のランダムなパスフレーズの利用が24文字のシードと同等のセキュリティレベルを保証するのに必要とされます。

今後、ボクが保有している21000000BTCは、パスフレーズ有のウォレットの方に移行しておけば、Trezorが物理的に盗まれた場合にも安心して大丈夫というわけですね。

それでは皆さん、今後もTrezorで良い暗号資産ライフを!

 

参考情報

 

Article date Article like Article tip Article supporter
公開日 いいねによる獲得 投げ銭による獲得 サポーター
: : :
2019/07/05 48.87 ALIS 12.50 ALIS
katakoto's icon'
  • katakoto
  • @katakoto
クリプトバブルの波に乗って年内にキンキンで年収がムーンするはずが、なぜか無職になって🇨🇦にいる。今はなけなしのBTCを削って生計を立てています。いつだって願いは、世界人類が平和でありま文字数。
コメントする
コメントする