セキュリティチップにRSA暗号鍵の脆弱性、GoogleやMicrosoftの製品にも影響

Infineon製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が発覚。問題のセキュリティチップはGoogleやMicrosoftなど幅広いメーカーの製品に使われている。

» 2017年10月18日 08時25分 公開
[鈴木聖子ITmedia]
photo 問題のRSAライブラリは、セキュリティチップのTrusted Platform Module(TPM)やスマートカードなど幅広い製品に採用されている(出典:Centre for Research on Cryptography and Security)

 GoogleやMicrosoftなど主要メーカーの製品に使われているInfineon Technologies製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が報告された。米セキュリティ機関CERT/CCは10月16日付でセキュリティ情報を公開し、メーカー各社はファームウェア更新などの対応を行っている。

 CERT/CCによると、Infineon RSAライブラリのバージョン1.02.013に、RSA鍵のペアが適切に生成されない脆弱性が存在する。攻撃者はこのライブラリで生成されたRSA公開鍵にアクセスするだけで、RSA秘密鍵を計算できてしまう恐れがある。危険度は共通脆弱性評価システム(CVSS)のベーススコアで8.8(最大値は10.0)と評価されている。

 問題のRSAライブラリを使ったセキュリティチップのTrusted Platform Module(TPM)やスマートカードは、幅広いメーカーの製品に採用されている。

 CERT/CCによれば、これまでにGoogle、Microsoft、富士通、Hewlett Packard Enterprise(HPE)、Lenovoなどの製品で影響が確認された。

photo 危険度のスコアは8.8(最大値は10.0)で、Google、Microsoft、富士通、Hewlett Packard Enterprise(HPE)、Lenovoなどの製品で影響が確認された(出典:CERT/CC)

 Googleの製品では、Chrome OSデバイスの「Chromebook」にInfineon TPMチップが搭載されているといい、同社からファームウェアの更新版が公開された。

 Microsoftは10月10日に公開したWindows向けのセキュリティ更新プログラムでこの問題に対応。富士通は10月末ごろからファームウェアのアップデートを順次提供予定と説明している。

 今回の脆弱性を発見した研究チームは、2017年2月にInfineonに報告し、5月〜10月にかけてメーカー各社の対応に協力。10月16日に概略を公表し、11月2日に開かれるACM CCSカンファレンスで詳しい内容の発表を予定している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ