クリプト

ハードウェア・ウォレットTrezorに5分内にシードが抜かれるパッチ不可能な脆弱性【対応策有】

katakoto's icon'
  • katakoto
  • 2019/07/05 05:10

 

Katakotoさんもこのモデルのユーザーなので一応注意喚起しておきます。

パッチ修復不能なTrezorからのシード抜き取り:実践的かつ確実性の高いアタック

“デバイスを盗んだ攻撃者は、Trezorからシードを抜き出す事が可能。抜き取りに5分もかからず、必要になる装置は100ドルほどで作成可能。”

この脆弱性を指摘したのはTrezorとライバル関係にあるLedgerのセキュリティ・リサーチチーム Ledger Donjon

結構、衝撃的なニュースですが、Trezor本体が物理的に盗まれてしまった場合の脆弱性は以前にも他のリサーチチームから指摘されていたもので


Trezor側からの今回のケースへの対応策も、その当時に出された声明と変わっていません。

“慌てるな。パスフレーズを設定しろ。”

Content image
Source:https://blog.trezor.io/passphrase-the-ultimate-protection-for-your-accounts-3a311990925b

☝️ご覧のように、万が一あなたのTrezor本体が盗まれ、シードが抜き取られてしまっても、あらかじめパスフレーズを設定しておけば、クラッカーは資産を保管してあるウォレットにたどり着くことはできません。

というわけで、ドヤ顔で説明していながらパスフレーズを全然設定していなかったKatakotoさんも慌ててやっておきました。

Content image

パスフレーズはメニューの高度(Advance)設定から設定可能です。

Content image
怖い事が書いてあるけど、まじでパスフレーズ忘れないでね!

Trezor本体の“Confirm”を押して進めます。

Content image

一回、Trezor本体をPCから取り外して・・・もっかい挿入・

Content image

パスフレーズを入力して“決定”を押します。※パスフレーズは大文字・小文字を区別するので注意!

Content image

パスフレーズが設定された空っぽのウォレットが開きます。

おい!俺の資産が入ってたウォレットどこいった!!??

安心してください。再度Trezorを指しなおしてパスフレーズの入力を求められたら、空のまま“決定”ボタンを押せば、パスフレーズを設定してない状態で使っていたウォレットが表示されます。

Content image

ほら!僕の大事な50DOGEコインが返ってきた!

Content image

パスフレーズ自体はどこにも保存される事はないため、上にあるような攻撃でも絶対に抽出不可能なので安全ですね。これに関しては、今回の脆弱性を警告しているセキュリティ・チームも“唯一の対応策”として認めています。

"there is only one mitigation: the use of a long passphrase. ~中略~ a passphrase of about 37 random characters is required to guarantee the same security level as the 24 words seed."

唯一のリスク軽減策:長いパスフレーズの利用です。約37文字のランダムなパスフレーズの利用が24文字のシードと同等のセキュリティレベルを保証するのに必要とされます。

今後、ボクが保有している21000000BTCは、パスフレーズ有のウォレットの方に移行しておけば、Trezorが物理的に盗まれた場合にも安心して大丈夫というわけですね。

それでは皆さん、今後もTrezorで良い暗号資産ライフを!

 

参考情報

 

Supporter profile iconSupporter profile icon
Article tip 2人がサポートしています
獲得ALIS: Article like 48.87 ALIS Article tip 12.50 ALIS
katakoto's icon'
  • katakoto
  • @katakoto
クリプトバブルの波に乗って年内にキンキンで年収がムーンするはずが、なぜか無職になって🇨🇦にいる。今はなけなしのBTCを削って生計を立てています。いつだって願いは、世界人類が平和でありま文字数。

投稿者の人気記事
コメントする
コメントする
こちらもおすすめ!
Eye catch
クリプト

ジョークコインとして出発したDogecoin(ドージコイン)の誕生から現在まで。注目される非証券性🐶

Like token Tip token
38.31 ALIS
Eye catch
クリプト

UNISWAPでALISをETHに交換してみた

Like token Tip token
40.40 ALIS
Eye catch
クリプト

【初心者向け】$MCHCの基本情報と獲得方法

Like token Tip token
32.32 ALIS
Eye catch
クリプト

コインチェックに上場が決まったEnjin Coin(エンジンコイン)コインを解説

Like token Tip token
21.49 ALIS
Eye catch
クリプト

約2年間ブロックチェ-ンゲームをして

Like token Tip token
61.20 ALIS
Eye catch
クリプト

【初心者向け】JPYCを購入して使ってみました!

Like token Tip token
30.03 ALIS
Eye catch
クリプト

CoinList(コインリスト)の登録方法

Like token Tip token
15.55 ALIS
Eye catch
クリプト

Uniswap(ユニスワップ)で$ALISのイールドファーミング(流動性提供)してみた

Like token Tip token
59.99 ALIS
Eye catch
クリプト

Uniswap v3を完全に理解した

Like token Tip token
18.92 ALIS
Eye catch
クリプト

Eth2.0のステークによるDeFiへの影響を考える。

Like token Tip token
44.10 ALIS
Eye catch
クリプト

NFT解体新書・デジタルデータをNFTで販売するときのすべて【実証実験・共有レポート】

Like token Tip token
121.79 ALIS
Eye catch
クリプト

Polygon(Matic)で、よく使うサイト(DeFi,Dapps)をまとめてみた

Like token Tip token
236.30 ALIS