シェイプシフト、指摘されたハードウェアウォレットの脆弱性は「現実的ではない」

仮想通貨取引所やハードウェアウォレットを手掛けるシェイプシフトは、指摘されていた同社のハードウェアウォレット「キープキー」の脆弱性について、重要なリスクではないとした。8月4日にブログで発表した。同社は5月1日に脆弱性のリポートを受けていた。

指摘された脆弱性は、サイドチャネル攻撃の一種だ。攻撃者がディスプレイの電力消費の変動を解析し、ウォレットのディスプレイに何が表示されているのかを特定できるという。攻撃者がディスプレイから情報を読み取り、ウォレットから資金を盗み取ることが可能になるというものだ。

シェイプシフトは、画面に表示された情報へのアクセスを入手するには、攻撃者がデバイスに物理的にアクセスし、オシロメーター(または同様のツール)で電力消費を確実にモニターする必要があるとし、以下のように述べている。

「単に、誰かの肩越しに盗み見たり、部屋に隠しカメラを設置する方がはるかに簡単だろう」

シェイプシフトは、サイドチャネル攻撃には、画面上の電力表示だけをもとに得られるデータを統計分析し、特定の器具やハードウェア技術といった物理的なアクセスが必要になり、たとえそれらすべてが揃ったとしても、データを翻訳するのはかなり困難としている。

「キープキーのレジャー画面により、複数のリカバリーフェーズワードが同時に表示される。これにより、画面で使用される電力に基づく個々のワード(およびワードの順番)を一致させることがさらに困難になる」

翻訳・編集 コインテレグラフ日本版