YubiKey 5に重大な脆弱性 新バージョンのデバイス購入が必要：セキュリティニュースアラート

NinjaLabはYubiKeyに重大な弱性があることを公表した。この脆弱性は、内蔵されているInfineon Technologiesのセキュアエレメント内の暗号化ライブラリーの実装問題に起因している。

[後藤大地，有限会社オングス]

　NinjaLabは2024年9月3日（現地時間、以下同）、オンラインサービスへの安全な認証手段として広く普及しているハードウェアセキュリティキー「YubiKey」に重大な脆弱（ぜいじゃく）性があることを公表した。

　今回の脆弱性は、YubiKeyに内蔵されているInfineon Technologiesのセキュアエレメント（注）内にある問題とされており、暗号化ライブラリーの実装にサイドチャネル攻撃の脆弱性が存在しているという。

（注）暗号鍵や認証データを安全に保管し、不正アクセスや改ざんから守る機能などを提供するICチップ。

YubiKeyに秘密鍵の窃取を可能とする脆弱性　新バージョンのデバイス購入を推奨

　NinjaLabによると、Infineon Technologies製のセキュアエレメント「Infineon SLE78」が搭載されたデバイスが暗号化ライブラリーのサイドチャネル攻撃に対して脆弱であることが判明したという。具体的にはInfineon ECDSA（楕円曲線デジタル署名アルゴリズム）における非定時間モジュラー反転の実装に脆弱性の原因があるとされ、物理的にアクセスできれば秘密鍵を盗み出すことが可能とされている。

　FIDOプロトコルを使用するYubiKeyでこの秘密鍵が盗まれた場合、攻撃者がデバイスのクローンを作成でき本人になりすまして認証できる危険性がある。実際に攻撃手法が「YubiKey 5Ci」を含むYubiKey 5シリーズで実証されており、Infineonの暗号ライブラリーを使用する全てのバージョンが影響を受ける可能性がある。

　この問題は、YubiKey 5シリーズのファームウェアバージョン5.7未満の全てのデバイスに影響を及ぼすことが報告されている。さらに電子パスポートや暗号通貨ウォレット、スマートホームシステムなどInfineon製のセキュアエレメントを採用している他のデバイスも影響を受ける可能性がある。

　ただし、この脆弱性を悪用するには高度な技術と高価な装備が必要とされている。そのため、サイバー攻撃を防ぐための認証トークンとしてのYubiKeyの利点は依然として有効とされている。

　YubiKeyのファームウェアは改ざんや不正な変更を防ぐため、ユーザー自身でアップデートできないよう設計されている。新しいセキュリティ機能や修正が必要な場合には新しいバージョンのYubiKeyデバイスを購入する必要がある。今回発見された脆弱性は、2024年5月6日にリリースされたYubiKeyのファームウェア5.7で修正されている。既存のデバイスでのアップデートはできないため、新しいバージョンのデバイスを購入することが推奨されている。