Trezorは、ライバルのLedgerによる開示を受けて、Safe 3およびSafe 5ハードウェアウォレットのセキュリティ上の欠陥を解決し、サプライチェーン攻撃に対するTrezorの既存の対策の一部を回避する方法を明らかにしました。TrezorがLedgerのセキュリティ調査結果に対応ハードウェアウォレットプロバイダーのTrezorは、LedgerのDonjonチームによるセキュリティレビューで、デバイスの2チップアーキテクチャの潜在的な弱点が明らかになった後、Safe 3およびSafe 5モデルの脆弱性に対処しました。「理論上の」脅威と表現されるこの欠陥は、複雑な物理的なサプライチェーン攻撃によってのみ悪用される可能性があり、中古または第3のデバイスに影響を与える可能性が最も高いです。この脆弱性は、Ledgerが調査結果をTrezorと共有した後に明るみに出て、Trezorは3月5日に公開しましたTrezorは X.com で次のように述べています。「Ledger Donjonは最近、当社のTrezor Safeファミリーを評価し、Trezor Safe 3のサプライチェーン攻撃に対するいくつかの対策をバイパスする方法を実証するために、以前に知られていた攻撃を再利用することに成功しました。」サプライチェーン保護の回避Ledgerが3月12日に発表したレポートによると、同社のDonjonセキュリティ研究チームは、既知の物理攻撃手法を再利用し、TrezorのSafe 3および5モデルのマイクロコントローラ上で、既存の安全対策にもかかわらず、暗号化操作を実行する方法を実証することに成功しました。このマイクロコントローラは、Trezorの2チップ設計のセキュアエレメントチップと連携して動作し、新たな潜在的な攻撃ベクトルとして特定されました。Trezorは改ざんされたソフトウェアを検出するためにファームウェアの整合性チェックを実装していましたが、Ledgerはこれらの保護手段が特定の条件下でバイパスできることを実証しました。これは、電圧グリッチなどの低コストの攻撃をブロックするように設計されたセキュアエレメントチップを使用しても、熟練した攻撃者がマイクロコントローラを標的にしてデバイスを侵害する可能性があることを示しています。Trezorの問題を修正し、ユーザーを安心させるTrezorは、Ledgerの調査結果を内部でレビューした後、脆弱性を軽減するための措置を講じたことを確認しました。同社は、このエクスプロイトがユーザーに差し迫ったリスクをもたらすことはなく、ユーザー側でのアクションは必要ないことを強調しました。また、階層化されたセキュリティアプローチは、サプライチェーンの脅威に対する防御において引き続き有効であると繰り返し述べています。Xに関する声明の中で、Trezorはサイバーセキュリティに内在する課題を認め、ファームウェアパッチは発行されているが、ソフトウェアアップデートだけではすべてのリスクを排除することはできないと指摘した。同社は、サプライチェーンの改ざんにさらされる可能性を最小限に抑えるために、認定された小売業者からのみデバイスを直接購入するようにユーザーにアドバイスしました。セキュリティ標準に関する業界の協力Ledgerの最高技術責任者(CTO)であるCharles Guillemet氏は、Trezorの迅速な対応を称賛し、次のように述べています。「エコシステムの全体的なセキュリティを強化することは、暗号資産とデジタル資産のより広範な採用に向けて取り組む上で不可欠です。」Ledgerは近年、独自のセキュリティ上の課題に直面しています。2023年、Ledgerのコネクタライブラリのエクスプロイトにより、暗号資産ファンドが484,000ドルの損失を被りました。2020 年には別の侵害が発生し、270,000 人を超える顧客の個人データが侵害されました。免責事項:この記事は情報提供のみを目的として提供されています。法律、税務、投資、財務、その他のアドバイスとして提供または使用することを意図したものではありません。
Trezor、ライバルのLedgerがフラグを立てた脆弱性にパッチを当てるためにスクランブル
Trezorは、ライバルのLedgerによる開示を受けて、Safe 3およびSafe 5ハードウェアウォレットのセキュリティ上の欠陥を解決し、サプライチェーン攻撃に対するTrezorの既存の対策の一部を回避する方法を明らかにしました。
TrezorがLedgerのセキュリティ調査結果に対応
ハードウェアウォレットプロバイダーのTrezorは、LedgerのDonjonチームによるセキュリティレビューで、デバイスの2チップアーキテクチャの潜在的な弱点が明らかになった後、Safe 3およびSafe 5モデルの脆弱性に対処しました。「理論上の」脅威と表現されるこの欠陥は、複雑な物理的なサプライチェーン攻撃によってのみ悪用される可能性があり、中古または第3のデバイスに影響を与える可能性が最も高いです。
この脆弱性は、Ledgerが調査結果をTrezorと共有した後に明るみに出て、Trezorは3月5日に公開しました
Trezorは X.com で次のように述べています。
「Ledger Donjonは最近、当社のTrezor Safeファミリーを評価し、Trezor Safe 3のサプライチェーン攻撃に対するいくつかの対策をバイパスする方法を実証するために、以前に知られていた攻撃を再利用することに成功しました。」
サプライチェーン保護の回避
Ledgerが3月12日に発表したレポートによると、同社のDonjonセキュリティ研究チームは、既知の物理攻撃手法を再利用し、TrezorのSafe 3および5モデルのマイクロコントローラ上で、既存の安全対策にもかかわらず、暗号化操作を実行する方法を実証することに成功しました。このマイクロコントローラは、Trezorの2チップ設計のセキュアエレメントチップと連携して動作し、新たな潜在的な攻撃ベクトルとして特定されました。
Trezorは改ざんされたソフトウェアを検出するためにファームウェアの整合性チェックを実装していましたが、Ledgerはこれらの保護手段が特定の条件下でバイパスできることを実証しました。これは、電圧グリッチなどの低コストの攻撃をブロックするように設計されたセキュアエレメントチップを使用しても、熟練した攻撃者がマイクロコントローラを標的にしてデバイスを侵害する可能性があることを示しています。
Trezorの問題を修正し、ユーザーを安心させる
Trezorは、Ledgerの調査結果を内部でレビューした後、脆弱性を軽減するための措置を講じたことを確認しました。同社は、このエクスプロイトがユーザーに差し迫ったリスクをもたらすことはなく、ユーザー側でのアクションは必要ないことを強調しました。また、階層化されたセキュリティアプローチは、サプライチェーンの脅威に対する防御において引き続き有効であると繰り返し述べています。
Xに関する声明の中で、Trezorはサイバーセキュリティに内在する課題を認め、ファームウェアパッチは発行されているが、ソフトウェアアップデートだけではすべてのリスクを排除することはできないと指摘した。同社は、サプライチェーンの改ざんにさらされる可能性を最小限に抑えるために、認定された小売業者からのみデバイスを直接購入するようにユーザーにアドバイスしました。
セキュリティ標準に関する業界の協力
Ledgerの最高技術責任者(CTO)であるCharles Guillemet氏は、Trezorの迅速な対応を称賛し、次のように述べています。
「エコシステムの全体的なセキュリティを強化することは、暗号資産とデジタル資産のより広範な採用に向けて取り組む上で不可欠です。」
Ledgerは近年、独自のセキュリティ上の課題に直面しています。2023年、Ledgerのコネクタライブラリのエクスプロイトにより、暗号資産ファンドが484,000ドルの損失を被りました。2020 年には別の侵害が発生し、270,000 人を超える顧客の個人データが侵害されました。
免責事項:この記事は情報提供のみを目的として提供されています。法律、税務、投資、財務、その他のアドバイスとして提供または使用することを意図したものではありません。