15歳のセキュリティ研究者がLedger Nano Sのウォレットの脆弱性を報告

Ledger Nano Sウォレットの脆弱性、15歳少年らにより発見された

ハードウェアウォレットの製造元Ledgerは、いくつかのセキュリティ上の欠陥を修正するファームウェアアップデートを公開しました。

これは、セキュリティ研究者の3人が独自に発見したもので、そのうちの1人、サレム・ラジット(Saleem Rashid)は15歳の英国の少年です。

彼は懸念されうる攻撃進路(attack vector:ハッカーやクラッカーが不正なアウトバンド通信をするために、パソコンやネットワークサーバのアクセスを入手する経路や方法)を発見し、それはハードウェアベースであり、Ledgerデバイスに限定されず、ソフトウェアだけで全体を軽減することは困難であるため、大きな被害に合う可能性を回避できたと報道されています。

2018年3月20日、Ledger Nano Sは、ファームウェア1.4.1のアップデートをリリースし、「セキュリティを向上しより安心して使ってもらえるようにした」とブログに投稿しました。

そしてそのブログには以下のことが書かれています。

「透明性と信頼性の高い開示プロセスに従って、3人のセキュリティ研究者によってファームウェア1.4を修正しました。これらの技術的な情報が公開されると、パッチ適用されていないデバイスの脅威レベルが上昇する可能性があるため、ユーザーにはファームウェアを更新することを強く推奨します。」

サレム・ラシッドの偉業は、15歳という若さもあり最も注目されています。

「アップデート前の状態のままだった場合、攻撃者はこの脆弱性を悪用して、ユーザーがデバイスを受け取る前にデバイスを侵害したり、物理的に、または一部のシナリオではリモートから秘密鍵を盗み出すことができます。

私は実際のLedger Nano Sに対してこの攻撃を実演しました。さらに、再現できました。」と同氏はコメントしています。

研究者達は報酬よりも情報公開を求めた

Ledgerによると、セキュリティ研究者たちの偉業を讃えて報酬を与えようとしたものの、研究者側はが自分たちで報告書を発表することを妨げないことを求めた。

ラシッド氏は実際に以下のように説明した。

「私はLedgerから報酬を頂いていません。私はLedgerのCEOであるEricLarchevêqueがセキュリティの脆弱性による攻撃を不安に思っていたために、Ledgerから賞金を受け取る代わりにこのレポートを公開することにしました。なぜなら私はこの脆弱性が顧客に適切に説明されないことに強く懸念を覚えたからです。」

この10代の研究者は、セキュリティー面の軽視を指摘したのです。彼がLedgerから報酬を受け取る権利を放棄し、報告書を提出したことについて、批判の声は少ないです。

Ledgeのハードウォレットの安全性

懸念点としてあげられるのは、Ledgerのウォレットの状態です。

仮想通貨専門家のマシューグリーン氏(Matthew Green)は、ラシッド氏のブログに対応して、このようなハードウェアベースの攻撃を完全に防止することの難しさを伝えるために、Twitterでつぶやきました。

彼は以下のように言っています。「Ledgerのウォレットについて大きな不安を持つ方もいるでしょうが、そんな心配はいりません。安全です。Ledgerユーザーは最新のファームウェアに更新する必要があります。」