ハードウェア・ウォレットTrezorに5分内にシードが抜かれるパッチ不可能な脆弱性【対応策有】

 

Katakotoさんもこのモデルのユーザーなので一応注意喚起しておきます。

パッチ修復不能なTrezorからのシード抜き取り：実践的かつ確実性の高いアタック

“デバイスを盗んだ攻撃者は、Trezorからシードを抜き出す事が可能。抜き取りに5分もかからず、必要になる装置は100ドルほどで作成可能。”

この脆弱性を指摘したのはTrezorとライバル関係にあるLedgerのセキュリティ・リサーチチーム Ledger Donjon。

結構、衝撃的なニュースですが、Trezor本体が物理的に盗まれてしまった場合の脆弱性は以前にも他のリサーチチームから指摘されていたもので

Trezor側からの今回のケースへの対応策も、その当時に出された声明と変わっていません。

“慌てるな。パスフレーズを設定しろ。”

☝️ご覧のように、万が一あなたのTrezor本体が盗まれ、シードが抜き取られてしまっても、あらかじめパスフレーズを設定しておけば、クラッカーは資産を保管してあるウォレットにたどり着くことはできません。

というわけで、ドヤ顔で説明していながらパスフレーズを全然設定していなかったKatakotoさんも慌ててやっておきました。

パスフレーズはメニューの高度(Advance)設定から設定可能です。

Trezor本体の“Confirm”を押して進めます。

一回、Trezor本体をPCから取り外して・・・もっかい挿入・

パスフレーズを入力して“決定”を押します。※パスフレーズは大文字・小文字を区別するので注意！

パスフレーズが設定された空っぽのウォレットが開きます。

おい！俺の資産が入ってたウォレットどこいった！！？？

安心してください。再度Trezorを指しなおしてパスフレーズの入力を求められたら、空のまま“決定”ボタンを押せば、パスフレーズを設定してない状態で使っていたウォレットが表示されます。

ほら！僕の大事な50DOGEコインが返ってきた！

パスフレーズ自体はどこにも保存される事はないため、上にあるような攻撃でも絶対に抽出不可能なので安全ですね。これに関しては、今回の脆弱性を警告しているセキュリティ・チームも“唯一の対応策”として認めています。

"there is only one mitigation: the use of a long passphrase. ～中略～ a passphrase of about 37 random characters is required to guarantee the same security level as the 24 words seed."

唯一のリスク軽減策：長いパスフレーズの利用です。約37文字のランダムなパスフレーズの利用が24文字のシードと同等のセキュリティレベルを保証するのに必要とされます。

今後、ボクが保有している21000000BTCは、パスフレーズ有のウォレットの方に移行しておけば、Trezorが物理的に盗まれた場合にも安心して大丈夫というわけですね。

それでは皆さん、今後もTrezorで良い暗号資産ライフを！

 

参考情報