セキュリティチップにRSA暗号鍵の脆弱性、GoogleやMicrosoftの製品にも影響

Infineon製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が発覚。問題のセキュリティチップはGoogleやMicrosoftなど幅広いメーカーの製品に使われている。

[鈴木聖子，ITmedia]

問題のRSAライブラリは、セキュリティチップのTrusted Platform Module（TPM）やスマートカードなど幅広い製品に採用されている（出典：Centre for Research on Cryptography and Security）

　GoogleやMicrosoftなど主要メーカーの製品に使われているInfineon Technologies製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が報告された。米セキュリティ機関CERT/CCは10月16日付でセキュリティ情報を公開し、メーカー各社はファームウェア更新などの対応を行っている。

　CERT/CCによると、Infineon RSAライブラリのバージョン1.02.013に、RSA鍵のペアが適切に生成されない脆弱性が存在する。攻撃者はこのライブラリで生成されたRSA公開鍵にアクセスするだけで、RSA秘密鍵を計算できてしまう恐れがある。危険度は共通脆弱性評価システム（CVSS）のベーススコアで8.8（最大値は10.0）と評価されている。

　問題のRSAライブラリを使ったセキュリティチップのTrusted Platform Module（TPM）やスマートカードは、幅広いメーカーの製品に採用されている。

　CERT/CCによれば、これまでにGoogle、Microsoft、富士通、Hewlett Packard Enterprise（HPE）、Lenovoなどの製品で影響が確認された。

危険度のスコアは8.8（最大値は10.0）で、Google、Microsoft、富士通、Hewlett Packard Enterprise（HPE）、Lenovoなどの製品で影響が確認された（出典：CERT/CC）

　Googleの製品では、Chrome OSデバイスの「Chromebook」にInfineon TPMチップが搭載されているといい、同社からファームウェアの更新版が公開された。

　Microsoftは10月10日に公開したWindows向けのセキュリティ更新プログラムでこの問題に対応。富士通は10月末ごろからファームウェアのアップデートを順次提供予定と説明している。

　今回の脆弱性を発見した研究チームは、2017年2月にInfineonに報告し、5月〜10月にかけてメーカー各社の対応に協力。10月16日に概略を公表し、11月2日に開かれるACM CCSカンファレンスで詳しい内容の発表を予定している。