TREZOR本体が盗まれてしまった場合、
シードが抜かれてしまう脆弱性が発見されましたので、
その対策方法についてご紹介したいと思います。
ライバルであるLedgerのセキュリティチームによってこの脆弱性を発見されました。
目 次 |
1.脆弱性が発見された経緯 |
2.シードの引き抜きについて |
3.資産を抜かれないためには |
4.パスフレーズの設定方法 |
※参照:Ledgerセキュリティチーム
1.脆弱性が発見された経緯
TREZORのファームウェアはオープンソースであり、
Ledgerのセキュリティチームが調査対象としてTREZORの
ソースを評価していた事によって今回の発見へと繋がりました。
昔は内部のプログラムは完全社外秘である事が多かったのですが
(盗まれると全く同じものを作られてしまうため)
近年では、このように部外者がバグや脆弱性などを発見してくれたり、
市場拡大を見込めたりと(真似して作ってくれる人が増えると認知度が上がる)
メリットが大きいため一部のプログラムだけはオープンにしている事が多いのです。
2.シードの引き抜きについて
デバイス本体を盗まれた場合、シードを抜き取るまでの時間は
たった5分で、そのシードを抜き取るための材料費は
たった100ドルで調達可能である事がわかっています。
さらに20台のデバイスで検証した結果、100%の確率で
シードを抜き取ることに成功しています。
つまり、デバイスを盗まれてしまった場合、資産を抜かれてしまうことを意味しています。
この脆弱性はパッチによるアップデートでは改善する事ができません。
パッチによるアップデートを可能にするには、
デバイスの再設計が必要になり現実的ではないからです。
ちなみにパッチとはバグやセキュリティホールを潰すための「修正プログラム」のことです。
3.資産を抜かれないためには
通常、このようにハードウォレットを盗まれた後のことはメーカーも保証していません。
確かに財布を盗まれた後の事を財布メーカーに保証しろっていうのも
変な話です・・・しかし、TREZORでは
パスフレーズを設定する事で対応できる仕様になっているため
なるべく長くて単調ではないフレーズを設定する事で資産を安全に守る事が可能になります。
各個人による対策になってしまいますがぜひ設定をおススメします。
こちらにパスフレーズによるアカウント保護に関する事が書かれています。
一部抜粋して、設定方法をご紹介したいと思います。
4.パスフレーズ設定方法
決められたシードにもう1つだけ自分の決めた50文字以内のオリジナルの単語を加える事で
セキュリティをさらに強化するというイメージになります。
1.1
「高度」をクリックします。
1.2
「はい、わかりました」にチェックを入れて「パスフレーズによる暗号化を有効化」
をクリックします。
1.3
以下のメッセージが表示されたら、
TREZOR本体に「Do you really want to enable passphrase encryption ?」
と表示されるので確認を押します。
1.4
TREZORをPCから切り離します。
1.5
TREZOR本体で確認します。
1.6
「Where to enter your passphrase ?」「Device」「Host」と表示
されているので「Device」または「Host」のどちらかを選択します。
「Device」の場合はTREZOR本体から入力を行い、
「Host」の場合はブラウザから入力を行うかの違いだけです。
50文字以内のパスフレーズを決定して入力します。
※ブラウザの場合は入力確認も求められます。
これで、パスフレーズの設定が完了しました。
設定後は、シードと同様にパスフレーズも忘れないように管理して下さい。
忘れてしまうと資産を取り出すことができなくなってしまいます。
パスフレーズ設定後、最初の起動ではパスフレーズ設定前の
ウォレットに資産が入っているのでパスフレーズを空の状態で接続してみて下さい。
パスフレーズが空のウォレットからパスフレーズを設定したウォレットへ
資産を移す事でパスフレーズによる管理が可能となります。
本体を盗まれた場合、シードは引き抜かれてしまう可能性が
ありますが、ウォレットに接続するためのパスフレーズがわからなければ
資産を抜かれる事がありませんのでこの設定はなるべくやっておいた方が
いいでしょう。