チェコ・プラハ拠点の仮想通貨ハードウォレット大手トレザーが、ライバル企業レジャーによる脆弱性情報レポートについて回答。物理的な攻撃は難易度が高い上に対策済みで、リモート攻撃の方が大きな問題だと反論した。トレザー公式ブログにおいて、3月12日掲載の記事で公開した。
トレザーは、レジャーが3月10日にレポートで明らかにした問題点は、どれもハードウォレットにとって重大ではないと主張。レジャーが挙げた攻撃方法は、「ハードウォレットへの物理的なアクセス、特殊な機器、時間、技術上の専門知識」を必要とし、リモートで攻撃することはできないと指摘した。
さらにトレザーは、仮想通貨取引所大手バイナンスと共同で実施したセキュリティ調査を引用。この調査によると、仮想通貨ファンドのうち、物理的な攻撃が最大の脅威としている回答者は約6%にとどまり、その一方約66%がリモート攻撃を主な脅威と捉えているとした。
(トレザーが、仮想通貨取引所バイナンスと共同で実施したセキュリティ調査結果。仮想通貨(ウォレット)に関する脅威として、約66%がリモート攻撃、約6%は物理的な攻撃(盗難)としている 出典:トレザー公式ブログ「Our Response to Ledger’s #MITBitcoinExpo Findings」)
トレザーは、(武器を持った攻撃者が、パスワードを教えるようユーザーを直接脅迫した場合など)物理的な攻撃者が標的を定め、特定ユーザーのパスワードを狙った場合は、メーカーが施したハードウェア上の対策ではハッキングは防げないと説明した。一方、偶発的な盗難の場合は、犯罪者が必要な装備を見つけることは難しく、トレザー製品をハッキングできる可能性は低いだろうとした。
レジャーによって公開されたトレザー・ワンとトレザーTの5点の脆弱性のうち、4点は対策済みのため、攻撃に利用できない状態で、PINコードを必要とするとした。またトレザーは、厳重な監視のもと製品を製造しているとした。
(レジャーによるハードウォレットの脆弱性情報レポートに対する、トレザーの回答 出典:トレザー公式ブログ「Our Response to Ledger’s #MITBitcoinExpo Findings」)
レジャーは当初、先週末にマサチューセッツ工科大学で開催されたイベント「MIT ビットコイン・エキスポ 2019」で今回の調査結果を公開した。同社は、物理的なアクセルによるハッキング攻撃に注目し、秘密鍵を抽出する手法や機密データの盗難の可能性について説明した。
翻訳・編集 コインテレグラフ日本版
原文 Trezor Responds to Ledger Report on Vulnerabilities in Its Hardware Wallets