5月7日、セキュリティリサーチャーのChristian Reitter氏から、Ledgerの報奨金プログラムを通じて、Ledger Nano SやLedgerNano Xなどの有機EL画面を搭載したハードウェアウォレットの脆弱性についての報告がありました。この脆弱性は重大ではないと判断されましたが、Ledger Nano Sファームウェア1.6で対策が実施されました。
よくあるご質問とその回答が、以下に記載されています。脆弱性の詳細についてはブログ記事をご参照ください。
Ledgerハードウェアウォレット上の暗号資産は今も安全ですか?
はい。今回の脆弱性は理論的には可能ですが、実際には実証されていません。この脆弱性を利用した攻撃は、ターゲットがPINコードを入力したり、シードを初期化する姿を隠しカメラで撮影するより現実的でないため、重大な脆弱性ではないとみなされています。
画面の脆弱性が悪用される確率はどれくらいですか?
その確率は非常に低いといえます。まず攻撃者は、ハードウェアウォレットの電力使用量を測定するために必要な電子部品を内蔵した、偽のUSBケーブルを用意しなければなりません。次に、Ledgerのサプライチェーンを攻撃し、ハードウェアウォレットのボックスに同梱されている純正のUSBケーブルを、こっそり偽のUSBケーブルと差し替える必要があります。さらに、セットアップ時にLedgerハードウェアウォレットと通信できるようターゲットのコンピューターをハッキングし、画面に表示された情報を検出して外部サーバーに送信できる仕組みを構築しければならないのです。つまり、この脆弱性を悪用するよりも、ターゲットを隠しカメラで撮影するほうがはるかに現実的な攻撃方法だということです。
Ledgerはこの脆弱性にどのように対処する予定ですか?
Ledgerは、画面に表示されるデータと、消費電力の分析によって取得できるデータの依存関係を大幅に減らすため、2つの対策を用意しました。これらの対策は、Ledger Nano Sのファームウェア1.6にはすでに取り入れられており、Ledger Nano Xには次のファームウェアアップデートで取り入れられる予定です。技術的な詳細については、ブログ記事をご参照ください。
この脆弱性の影響を受けないようにするには、どうすれば良いですか?
今回修正された脆弱性は、ユーザーがデバイスを操作するタイミングをこっそり狙うものです。このタイプの脆弱性は、いかなる技術的対策を講じたとしても、完全には解決できないということを理解する必要があります。いずれにせよ、Ledgerデバイスには常に最新のファームウェアバージョンを必ずインストールするようにしてください。
心配な場合には、Ledger Nano Sのセットアップ時に安全でないコンピューターに接続してしまう可能性を避けるため、コンセントの充電器を使用することをお勧めします。Ledger Nano Xの場合は、モバイルバッテリーのみで給電を行う方法もあります。また、偽ケーブルへの差し替えによる攻撃は現時点では確認できておりませんが、心配な場合はご自身でUSBケーブルを用意すると良いでしょう。
Ledger Blueもこの脆弱性による影響を受けますか?
この脆弱性は有機EL画面にのみ該当します。Ledger Blueは液晶画面を搭載しているため、この脆弱性による影響は受けません。
この脆弱性の悪用による被害は報告されていますか?
現時点で、この脆弱性が悪用されたという報告はありません。
その他にご不明な点がございましたら、
お気軽にLedgerサポートまでご連絡ください。サポートチームが回答いたします。