TREZORの脆弱性について調べた!

TREZORの脆弱性について調べるホタル

こんにちは!ホタルです!

私がメインで使用しているハードウェアウォレット「TREZOR Model T」ですが、実は、この機種を含むTREZORのハードウェアウォレットには、セキュリティ上の欠陥があります。
今回は、私も愛用しているTREZOR(トレザー)の脆弱性について調べてみました!

脆弱性を見つけて指摘している人は誰?

TREZORの脆弱性について指摘しているのは、2社のセキュリティチーム。
両社とも仮想通貨界隈では超有名な一流企業で、ビットコインやハードウェアウォレットに関心がある人なら一度は聞いたことのある会社です。

Kraken Security Labs

Kraken Security Labsは、アメリカの仮想通貨取引所「Kraken(クラーケン)」の研究部門です。

Ledger Donjon

Ledger Donjonは、ハードウェアウォレットの脆弱性が指摘されているTREZORのライバル会社「Ledger(レジャー)」のセキュリティ・リサーチチームです。

脆弱性の内容は?

脆弱性の具体的な内容ですが、両社ともTREZORのハードウォレットに物理的アクセスを行うことにより、PINコードとシードフレーズが簡単に取り出せると説明しています。

Kraken Security Labsの実証

Kraken Security Labsは、物理的アクセスを行うすることにより、15分以内でハードウェアウォレットからPINコードとシードフレーズを取り出すことが可能になると実証しています。

TREZOR本体からチップを取り出して専用の機器でPINコードとシードフレーズを抜き取ってます。
物理的アクセスというのは、ガチでTREZORのハードウォレット本体を盗むということですね。

Ledger Donjonの実証

Ledger Donjonは、物理的アクセスを行うすることにより、5分内でハードウェアウォレットからPINコードとシードフレーズを取り出すことが可能になると実証しています。

びっくりするぐらいスピーディーにPINコードとシードフレーズが抜き取られていますよね。
ちなみに取り出しに必要なのは$100とパソコンだけということです。

ただ、Kraken Security Labs、Ledger Donjonどちらの検証動画を見ても、中身をバラしたり、簡単に手に入らないような機器を使っているので、物理的アクセスといっても、専門知識がある人にTREZOR本体を盗まれない限り、安全なのでは?とも思えてきますね。

TREZORの説明

これらの脆弱性についてTREZOR社側も認識しているということですが、物理的アクセスの危険性自体は6〜9%に過ぎないので心配する必要はなく、パスフレーズ機能(隠しウォレット)を利用することで脆弱性を克服できると説明しています。

確かに、物理的アクセスを行えばPINコードとシードフレーズを取り出せるといっても、検証動画を見る限り、専門知識がなければ難しいので、私もそこまで心配する必要はないと思いました。

クラッカー対策

クラッカー(セキュリティ・ハッカー)からTREZORのハードウェアウォレットを守る方法はシンプル。

  • 37文字のランダムなパスフレーズで隠しウォレットを作る。
  • TREZORを物理的な盗難から守る。

↑私もやってますけど、ハードウェアウォレットを扱うならあたりまえのことですよね。

私の場合

私の場合は、PINコードとパスフレーズはパスワード管理アプリ、シードフレーズとPINのバックアップは紙にメモして、それぞれ別の場所に保管しています。
それで、本体は常に持ち歩いています。

PINコードとパスフレーズの管理に関して「暗記」が望ましいのは重々承知ですが、忘れた時のリスクも考慮する必要がありますし、メモして別の場所に保管するにしても、使いたい時に使えなくなると不便なので・・・。

パスワード管理アプリに関しては賛否両論あると思いますけど、私はリスクヘッジを考えた上で一部利用しています。

最後に、今回TREZORの脆弱性について調べてて、ふと思ったんですが、TREZORって、PINコードとシードフレーズを忘れてしまっても、自分でクラッキングすればセルフゴックスしても安心ですよね?
まぁ専門的な知識がないと、あのクラッキングマシンを再現するのは難しいと思いますけど・・・。