BitcoinアプリおよびSegwitに対応したBitcoinベースのアプリケーションに脆弱性が見つかり、攻撃者がユーザーに気づかれずに取引手数料を増額させることができることが判明しました。
この脆弱性は、取引手数料の増額を可能にするだけで、コインを盗むことはできないため、実際に実行される可能性は極めて低いと考えられます。脆弱性に関する詳細な情報は、 このLedger Security Bulletin(セキュリティ告示) に掲載されています。
ユーザーの皆様には、My LedgerからLedger Liveデスクトップをバージョン2.4.1、Ledger Bitcoinアプリをバージョン1.4.0にアップデートすることを推奨します。これらのアップデートには、この脆弱性に対する修正が含まれています。
よくあるご質問(FAQ)
攻撃者は、どのようにこの脆弱性を悪用するのでしょうか?
この攻撃では、クライアントアプリケーションの情報漏洩を要求します。これは、ユーザーを騙し、Ledger Liveやその他のウォレットアプリの偽バージョンをインストールさせることにより行われます。そして、少なくとも1つのSegwit入力で取引を行う際に、ユーザーを騙して複数の取引を行わせ、後にその入力を組み合わせるよう仕組まれています。攻撃者はその後、はるかに高額な取引料でネットワークに取引をブロードキャストできるようになります。
この脆弱性は悪用されていますか?
この脆弱性が、Ledgerのウォレットやその他のウォレットで悪用されたという報告はありません。攻撃者は直接コインを盗むことができないため、これを悪用しようとする可能性は極めて低いと言えます。
Ledger Liveを使用する際に、この脆弱性からどのように自分を保護すればよいでしょうか?
Ledger Liveのみを使用している場合は、Ledger Liveをアップデートし、最新版のBitcoinアプリをインストールしてください。脆弱性を悪用されないようにすることが可能です。
- Ledger Live desktopアプリを終了し、再起動する。
- アップデートの通知バナーをクリックする(表示されるまでに時間がかかる場合があります)。バージョン2.4.1を直接ダウンロードしてインストールすることも可能です。
- My Ledgerに移動し、すべてアップデートボタンをクリックする。Ledgerデバイスのすべてのアプリケーションがアップデートされます。デバイスがBitcoinアプリのバージョン1.4.0を実行します。
サードパーティウォレットを使用する際、この脆弱性からどのように自分を保護すればよいのでしょうか?
「My Ledger」から最新のBitcoinアプリケーションをインストールする必要があります。悪用される可能性のあるトランザクションを行っている場合は、Ledgerデバイスに警告が表示されます。トランザクションをキャンセル、または警告を無視して続行することが可能です。
サードパーティのウォレット開発者に連絡を取り、LedgerJSをアップデートして、開発者側で脆弱性を修正するよう要請されることをお勧めします。