セキュリティチップにRSA暗号鍵の脆弱性、GoogleやMicrosoftの製品にも影響
Infineon製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が発覚。問題のセキュリティチップはGoogleやMicrosoftなど幅広いメーカーの製品に使われている。
GoogleやMicrosoftなど主要メーカーの製品に使われているInfineon Technologies製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が報告された。米セキュリティ機関CERT/CCは10月16日付でセキュリティ情報を公開し、メーカー各社はファームウェア更新などの対応を行っている。
CERT/CCによると、Infineon RSAライブラリのバージョン1.02.013に、RSA鍵のペアが適切に生成されない脆弱性が存在する。攻撃者はこのライブラリで生成されたRSA公開鍵にアクセスするだけで、RSA秘密鍵を計算できてしまう恐れがある。危険度は共通脆弱性評価システム(CVSS)のベーススコアで8.8(最大値は10.0)と評価されている。
問題のRSAライブラリを使ったセキュリティチップのTrusted Platform Module(TPM)やスマートカードは、幅広いメーカーの製品に採用されている。
CERT/CCによれば、これまでにGoogle、Microsoft、富士通、Hewlett Packard Enterprise(HPE)、Lenovoなどの製品で影響が確認された。
Googleの製品では、Chrome OSデバイスの「Chromebook」にInfineon TPMチップが搭載されているといい、同社からファームウェアの更新版が公開された。
Microsoftは10月10日に公開したWindows向けのセキュリティ更新プログラムでこの問題に対応。富士通は10月末ごろからファームウェアのアップデートを順次提供予定と説明している。
今回の脆弱性を発見した研究チームは、2017年2月にInfineonに報告し、5月〜10月にかけてメーカー各社の対応に協力。10月16日に概略を公表し、11月2日に開かれるACM CCSカンファレンスで詳しい内容の発表を予定している。
関連記事
- Adobeセキュリティブログ、秘密鍵掲載しちゃった
一般に公開してはならないはずのPGP秘密鍵が、手違いで公開鍵と一緒にAdobeのセキュリティ対策チームブログに掲載された。 - 指静脈からブロックチェーンの秘密鍵を生成する技術、日立が開発
生体情報から生成した電子署名をブロックチェーンの取引記録に付与できる技術を日立が開発。セキュアな取引を実現するという。 - 国際科学技術財団、「日本国際賞」にRSA暗号開発のアディ・シャミア氏を選出
RSA暗号の開発者の一人として知られ、情報セキュリティに不可欠な暗号分野での貢献を評価した。 - GE製スイッチにハードコーディングの脆弱性、ファームウェアにRSA秘密鍵
SSLトラフィックの暗号を解除するためのRSA秘密鍵がファームウェアから入手できる状態になっていた。GEはファームウェアのアップデートで対処した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.