YubiKey 5に重大な脆弱性　新バージョンのデバイス購入が必要：セキュリティニュースアラート

　NinjaLabによると、Infineon Technologies製のセキュアエレメント「Infineon SLE78」が搭載されたデバイスが暗号化ライブラリーのサイドチャネル攻撃に対して脆弱であることが判明したという。具体的にはInfineon ECDSA（楕円曲線デジタル署名アルゴリズム）における非定時間モジュラー反転の実装に脆弱性の原因があるとされ、物理的にアクセスできれば秘密鍵を盗み出すことが可能とされている。

　FIDOプロトコルを使用するYubiKeyでこの秘密鍵が盗まれた場合、攻撃者がデバイスのクローンを作成でき本人になりすまして認証できる危険性がある。実際に攻撃手法が「YubiKey 5Ci」を含むYubiKey 5シリーズで実証されており、Infineonの暗号ライブラリーを使用する全てのバージョンが影響を受ける可能性がある。

　この問題は、YubiKey 5シリーズのファームウェアバージョン5.7未満の全てのデバイスに影響を及ぼすことが報告されている。さらに電子パスポートや暗号通貨ウォレット、スマートホームシステムなどInfineon製のセキュアエレメントを採用している他のデバイスも影響を受ける可能性がある。

　ただし、この脆弱性を悪用するには高度な技術と高価な装備が必要とされている。そのため、サイバー攻撃を防ぐための認証トークンとしてのYubiKeyの利点は依然として有効とされている。

　YubiKeyのファームウェアは改ざんや不正な変更を防ぐため、ユーザー自身でアップデートできないよう設計されている。新しいセキュリティ機能や修正が必要な場合には新しいバージョンのYubiKeyデバイスを購入する必要がある。今回発見された脆弱性は、2024年5月6日にリリースされたYubiKeyのファームウェア5.7で修正されている。既存のデバイスでのアップデートはできないため、新しいバージョンのデバイスを購入することが推奨されている。