3月12日に発表されたLedgerのレポートによると、Trezorの最新のハードウェアウォレットであるSafe 3とSafe 5には深刻なセキュリティ上の問題があるという。.
報告書によると、同社のセキュリティ研究チームであるLedger Donjonは、これらのデバイスのマイクロコントローラーに多数の脆弱性があり、ハッカーがユーザーの資金にリモートアクセスできる可能性があることを発見したという。.
これらの脆弱性は、TrezorがEAL6+認証のセキュアエレメントを含む2チップ設計にアップグレードしたにもかかわらず発生しました。セキュアエレメントはPINと秘密鍵を保護しますが、Ledgerのレポートによると、すべての暗号化操作は依然としてマイクロコントローラー上で実行されており、電圧グリッチ攻撃に対して脆弱です。.
悪用された場合、攻撃者は暗号の秘密trac、ファームウェアを変更し、セキュリティチェックをバイパスして、ユーザーの資金を危険にさらす可能性があります。.
Trezorの新しいセキュリティ設計は重要な業務を保護できない
Trezorは2023年後半にSafe 3を発売し、続いて2024年半ばにSafe 5を発売しました。両方のウォレットでは、古いTrezorモデルで使用されていたシングルチップアーキテクチャからの脱却を目指し、アップグレードされた2チップ設計を導入しました。.
このアップグレードでは、PIN と暗号化された秘密を保存するための専用のセキュリティ チップとなる、Infineon の Optiga Trust M Secure Element も追加されました。.
よると、このセキュアエレメントは、正しいPINを入力しない限り機密データへのアクセスを防止します。また、 Trezor OneやTrezor Tなどのモデルからシードフレーズをtrac
しかし、こうした改善にもかかわらず、Ledger Donjon の調査によると、トランザクションの署名を含む主要な暗号化機能は依然としてマイクロコントローラ上で実行されており、これが依然として大きなセキュリティ上の弱点となっています。.
Safe 3 および Safe 5 で使用されるマイクロコントローラには TRZ32F429 というラベルが付けられていますが、これは実際にはカスタム パッケージされた STM32F429 チップです。.
このチップには既知の脆弱性があり、具体的には、攻撃者がフラッシュメモリへの完全な読み取り/書き込みアクセスを取得できるようにする電圧グリッチ攻撃です。.
攻撃者がファームウェアを改変すると、暗号セキュリティにおいて重要な役割を果たすエントロピー生成を操作できる可能性があります。これにより、リモートから秘密鍵を盗み出すことが可能になり、ハッカーがユーザーの資金に完全にアクセスできるようになる可能性があります。.
認証システムがマイクロコントローラの整合性を検証できない
Trezor はデバイスの検証に暗号認証を使用していますが、Ledger Donjon はこのシステムではマイクロコントローラーのファームウェアがチェックされないことを発見しました。.
Optiga Trust Mセキュアエレメントは、製造時に公開鍵と秘密鍵のペアを生成し、Trezorは公開鍵に署名して証明書に埋め込みます。ユーザーがウォレットを接続すると、Trezor Suiteはランダムなチャレンジを送信します。デバイスは、このチャレンジに秘密鍵で署名する必要があります。署名が有効であれば、デバイスは本物とみなされます。.
しかし、Ledger の調査によると、このプロセスではセキュア エレメントのみが検証され、マイクロコントローラやそのファームウェアは検証されないことがわかっています。.
Trezorは、製造時に両方のチップにプログラムされている事前共有秘密鍵を使用して、セキュアエレメントとマイクロコントローラをリンクしようとしました。セキュアエレメントは、マイクロコントローラがこの秘密鍵を知っていることを証明した場合にのみ、署名要求に応答します。.
問題は、この事前共有秘密がマイクロコントローラのフラッシュメモリに保存されており、電圧グリッチ攻撃に対して脆弱であるということです。.
Ledgerのチームは秘密をtrac、チップを再プログラムし、認証プロセスを完全にバイパスすることに成功しました。つまり、攻撃者はファームウェアを改変しながらもTrezorのセキュリティチェックを通過できるということです。.
Ledger のレポートでは、TRZ32F429 のパッドを標準ヘッダーに取り外すことができるカスタム アタック ボードの構築方法が説明されています。.
この設定により、攻撃者はマイクロコントローラを攻撃システムにマウントし、事前共有秘密をtracし、検出されることなくデバイスを再プログラムすることができます。.
再プログラムされると、暗号化証明システムは変更されないため、デバイスは Trezor Suite に接続したときに正当なものとして表示されます。.
これにより、侵害された Trezor Safe 3 および Safe 5 ウォレットが本物のデバイスとして販売され、ユーザーの資金を盗む悪意のあるファームウェアが密かに実行されるという危険な状況が発生します。.
ファームウェアの検証がバイパスされ、ユーザーが危険にさらされる
Trezor には Trezor Suite にファームウェア整合性チェックが含まれていますが、Ledger Donjon はこの保護を完全に回避する方法を見つけました。.
ファームウェアチェックは、デバイスにランダムなチャレンジを送信することで機能します。デバイスは、そのチャレンジとファームウェアの両方を使用して暗号ハッシュを計算します。Trezor Suiteは、このハッシュを正規のファームウェアバージョンのデータベースと照合して検証します。.
一見すると、この方法は効果的であるように見えます。攻撃者はランダムチャレンジを事前に知らないため、偽のハッシュをハードコードすることはできません。そのため、デバイスはハッシュをリアルタイムで計算し、本物のファームウェアを実行していることを証明する必要があります。.
しかし、Ledger Donjonはこの保護を完全に回避する方法を発見しました。この計算はマイクロコントローラが処理するため、攻撃者はファームウェアを改変して有効な応答を偽装することが可能です。.
デバイスのハッシュ計算方法を操作することで、攻撃者は任意のファームウェアバージョンを本物であるかのように見せかけることができます。これは深刻な問題です。なぜなら、攻撃者はTrezor Suiteの検証チェックを通過しながら、改変されたソフトウェアを実行できるからです。.
その結果、侵害された Trezor Safe 3 または Safe 5 は、秘密鍵を密かに漏らしたり、取引データを変更したりしながらも、正当なものであるように見える可能性があります。.
Ledgerのレポートは、Safe 3とSafe 5を完全に保護する唯一の方法は、マイクロコントローラをより安全な代替品に置き換えることだと結論付けています。Trezor Safe 5には、より新しいマイクロコントローラであるSTM32U5が搭載されており、少なくとも現時点では、公に知られているフォールトインジェクション攻撃はありません。.
しかし、これは専用のセキュア エレメントではなく、依然として標準的なマイクロコントローラであるため、新たな攻撃方法が発見されるリスクは残ります。.
Trezorはすでに脆弱性を修正しましたが、根本的なセキュリティ上の懸念は依然として残っています。マイクロコントローラー自体が完全に保護されるまで、ユーザーはTrezorのソフトウェア保護を信頼するしかありません。Ledger Donjonの調査では、このソフトウェア保護は既に回避可能であることが証明されています。.
