YubiKey で発見された脆弱性と弊社見解
発見された YubiKey の脆弱性
YubiKey などのハードウェアトークンに利用されている Infineon の暗号ライブラリに、NinjaLab の研究者によって脆弱性が発見されました。暗号ライブラリに保管されているパスキー等の “秘密鍵” が、複製される恐れがあるとのことです。
弊社でも販売しております Yubico 製品においても、古いファームウェアバージョンの製品にはこの脆弱性が存在します。
Yubico 社からのお知らせ:Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery
尚、2024年5月以降に Yubico 社から出荷された YubiKey 製品については、新しいファームウェアバージョンが適用されているため、本脆弱性には該当しないとのことです。
弊社の見解
本脆弱性によって秘密鍵が複製される恐れがあるのは、攻撃者(悪意のある第三者)の手元に YubiKey があり、且つ YubiKey を分解したり特殊な機械が使われる場合とのことです。
インターネットを介して攻撃される脆弱性ではありませんので、YubiKey がユーザーの手元にあり、従来通りユーザー認証に利用している過程では、本脆弱性によるインパクトは低いと言えます。
紛失・盗難された場合の推奨対応方法
YubiKey などのハードウェアトークンを紛失・盗難された場合には、当該ハードウェアトークンを登録しているサービスからすぐに登録解除することを推奨しております。(参考:CloudGate UNOに登録した認証器を解除する)
すぐに登録解除するためには、「ハードウェアトークンを紛失・盗難された場合にはシステム管理者へすぐに連絡する」ことを、ユーザー各位に改めて周知いただくことも重要です。
登録解除した後にハードウェアトークンが見つかった場合には、必ずハードウェアトークンを初期化した上で、再設定/再登録してご利用ください。
今後、情報のアップデートがあり次第、本記事の更新を以てお知らせ致します。
ご不明点等ございましたら CloudGate サポートまでご遠慮なくお問合せください。