Google Titan セキュリティキーを初めて試したとき、一番心配だったのは、傷がつきやすいこと(約9ヶ月後の今日、その様子をご覧いただけます)と、iPhoneとのBluetooth接続に問題があったことです。しかし、Googleが本日発表したキーのセキュリティ上の脆弱性に比べれば、それらは些細な欠陥に過ぎないことを、当時は知る由もありませんでした。
このセキュリティ脆弱性は、Bluetooth Low Energy(BLE)版セキュリティキー(対応アプリケーションにログインするためにタッチする必要があるハードウェア)に影響します。影響を受けるかどうかを確認する簡単な方法の一つは、Bluetoothキーの背面に「T1」または「T2」と表示されているかどうかです。この発見を受けて、Googleはこのウェブサイトで交換用キーを提供しています。
Googleはブログ投稿でセキュリティ問題について説明した。
「Titan セキュリティキーの Bluetooth ペアリングプロトコルの設定ミスにより、セキュリティキーを使用している瞬間に物理的に近くにいる攻撃者(約 30 フィート以内)が、(a) セキュリティキーと通信したり、(b) キーがペアリングされているデバイスと通信したりすることが可能になる」と同社は述べている。
Googleは、ハッカーがTitanの防御を突破するには、複数の条件が完璧に揃う必要があると指摘している。まず、アプリがBluetoothキーのボタンを押してログインするよう促す瞬間に、ハッカーが物理的にユーザーのすぐ近くにいる必要がある。「このような状況下では、攻撃者が何らかの方法でユーザー名とパスワードを入手し、これらのイベントのタイミングを正確に計ることができれば、攻撃者は自分のデバイスを使ってユーザーのアカウントにサインインできる可能性があります」とGoogleは説明している。その後、「攻撃者は自分のデバイスをBluetoothキーボードやマウスに見せかけ、デバイス上で何らかのアクションを起こす可能性があります」。
大きな驚きはない
このニュースは、Bluetooth ベースのセキュリティ キーの強度を疑問視する Yubico (Google が独自のセキュリティ キーを開発する前には Yubico からセキュリティ キーを購入していた) の声明から約 1 年後に出ています。
ユビコは当時、「以前、(Bluetooth)セキュリティキーの開発に着手し、(Bluetooth)U2F規格の策定作業に貢献しましたが、セキュリティ、使いやすさ、耐久性の面で当社の基準を満たしていないため、製品の発売を見送ることにしました。(Bluetooth)はNFCやUSBのようなセキュリティ保証レベルを提供しておらず、バッテリーとペアリングが必要なため、ユーザーエクスペリエンスが劣悪です」と述べていた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
リスクを軽減する方法
Googleは、Titanキーを使用する方がセキュリティキーを全く使用しないよりも安全だと述べています(ただし、YubiKeyなどの競合製品を検討するという選択肢については都合よく除外しています)。なお、このセキュリティ上の欠陥はUSBキーやNFCキーには適用されません。
ただし、交換キーを待っている間に、iOS デバイスを使用しているか、Android デバイスを使用しているかに応じて、リスクを軽減するための手順を実行できます。
iOS 12.2以前
Google は、これらのユーザーに対し、潜在的なハッカーが 30 フィート以上離れた「プライベートな場所」でキーを使用するよう推奨しました。
「デバイスでキーを使用してGoogleアカウントにサインインした後は、すぐにペアリングを解除してください。交換品が届くまでの間、iOS 12.3にアップデートするまで、この方法でキーを再度使用できます」とGoogleは述べています。
ただし、iOS 12.3 にアップデートするとセキュリティ キーが機能しなくなるため、これらのユーザーはロックアウトされないようにアカウントにログインしたままにしておく必要があります。
Androidおよびその他のデバイス
Googleは再び、ハッカーとの距離を30フィートに保つことを推奨した。
影響を受けるセキュリティキーを使用してGoogleアカウントにログインした後は、直ちにペアリングを解除してください。2019年6月のセキュリティパッチレベル(SPL)以降にアップデートされたAndroidデバイスでは、影響を受けるBluetoothデバイスとのペアリングが自動的に解除されるため、手動でペアリングを解除する必要はありません。また、Androidでサポートされており、この問題の影響を受けないUSBまたはNFCセキュリティキーは引き続きご利用いただけます。
シャロン・ハーディングは、ゲーム周辺機器(特にモニター)、ノートパソコン、バーチャルリアリティなど、テクノロジー関連の報道で10年以上の経験があります。以前は、Channelnomicsでハードウェア、ソフトウェア、サイバーセキュリティ、クラウド、その他のIT関連の出来事を含むビジネステクノロジーを取材し、CRN UKにも寄稿していました。
