Ledger製品のセキュリティ対策について(2018/2/7)

上記のTwitterで紹介されている記事の和訳を掲載します。Twitterなどで出回っているLedgerの脆弱性についてのLedgerの見解、対応が紹介されています。

(原文リンク:Man in the Middle Attack – Am I at risk?

この記事のまとめ

  • 受信アドレスを必ずコンピュータの画面上だけでなく、Ledgerデバイス本体でも確認して一致していることを確認ください。
  • Ledger Wallet Bitcoin Chromeアプリケーションをアップデートしてください。(最新のバージョンは1.10.1)→アプリバージョンの確認方法はこちら
  • 上記アプリはChromeの自動更新がOnになっていれば自動的に最新バージョンに更新されます。
  • Ledger Wallet Ethereum Chromeアプリケーション、Rippleアプリケーションは次回のグローバルリリースにてアップデートされる予定です。

 

以下、翻訳文となります。

Bitcoin.comが2月3日に掲載したブログ記事 “Ledger Addresses Man in the Middle Attack That Threatens Millions of Hardware Wallets.”内の主張には残念ながら誤解があります。この記事で説明をさせていただきます。

Ledgerを使用しているユーザーは受信アドレスをLedgerデバイス本体で認証する限りはリスクはありません。我々が知りうる限り、この脆弱性をつかれた攻撃により資産を盗まれたユーザーは一人もいません。

背景(バックグラウンド)

我々はそもそもコンピュータが必ずしもセキュア(安全)であるとはいえないという考えからLedger ハードウェアウォレットを設計しました。

マルウェアやウイルスはコンピュータ上の受信アドレスを偽のアドレスに改ざんし、ユーザに意図しないアドレスへの送金をさせる可能性があります。

ハードウェアウォレットはコンピューターとシード(ユーザの秘密鍵)との間に完全の独立したレイヤー(階層)を提供します。しかし、ユーザは送金時に、常に、必ず正しいアドレスに送金しているかを確認する必要があります。

攻撃のコンセプト実証(Proof of Concept)

Ledger Chromeアプリケーション上でコンピュータ上に表示された受信アドレスがマルウェアによって変更されるリスクがあるというコンセプト実証の記事が公開されました。

我々が知る限りでは、これは攻撃コンセプト実証(可能性の指摘)に過ぎず、Ledgerユーザがこの方法によって騙され、資金を奪われたという事実はありません。

我々はすでにこの可能性を認識しています。(前述の通り、コンピュータは安全でないという前提が、ハードウェアウォレットを作成することを決断した一番の理由です。)

我々が強調したいのは、コンピュータ上でハッカーが何でもできる可能性のある箇所ではコンピュータのスクリーン上に表示されているものは到底信頼できないものであるということです。

ユーザが信じることができる唯一のものはLedger ハードウェアウォレットに表示されているものだけです。

Ledger Bitcoin ChromeアプリはLedgerデバイスに受信用アドレスを表示させる専用のボタンを設けています。ユーザがこのアイコンをクリックすると、ウォレットによって生成された正しいアドレスがLedgerハードウェアウォレットデバイス上に表示されます。あなたが信頼できるのはこの情報だけです!

アクションポイント

Ledgerはユーザに簡単に、安全に仮想通貨資産を管理する方法を提供するために努力しています。悪用を防ぐために、我々はユーザに追加のサービス、情報を提供し続けています。

  • ソフトウェア・アップデート:我々はLedger Wallet Bitcoin Chrome applicationに新バージョンをリリースしました。Ledgerハードウェアウォレットデバイス上で宛先アドレスの確認を必須にする変更が含まれています。受信アドレスはコンピュータのスクリーン上で表示されるだけでなく、デバイス上で確認する必要があります。(イーサリウムとリップルアプリは次回のソフトウェア・アップデート時にこの機能が追加されます。)

  • バグ報奨金プログラムのアップデート:我々は急激に成長しています。そして、我々はソフトウェアにおけるバックグラウンの処理を開発、強化し続けています。我々はセキュリティリサーチャーやコミュニティからの貢献に高く価値をおいています。そして、Ledgerのバグ報奨金プログラムのアップデートをより早く効率的に作り変えていきます。すでに専用のメールアドレスを作成し、準備を開始しています。bounty@ledger.fr

 

  • 教育:セキュリティはハッカーと軍拡競争のようなものです。しかし、我々はそこに引き込まれています。我々はどのように危機に対応し、資産を守れるかユーザ教育、啓蒙活動のためにより活動することを計画しています。まずはこちらの記事を御覧ください。basic security principles ruleset.

Ledger Managerアプリを使用してLedger Nano S上のアプリが最新になっていることを確認してください。Ledger wallet desktopアプリケーションについてさらなる情報は近日中のお届けします。

 

Charles GUILLEMET – Chief Security Officer at Ledger

 

Share this post