仮想通貨ウォレットKeepKeyに欠陥。15分でPINコードが突破され無防備に

（Image: Shutterstock.com）

仮想通貨交換所Krakenの研究部門Kraken Security Labs（以下、クラーケン）は12月10日、ShapeShiftが開発するハードウェアウォレットKeepKeyの脆弱性を報告した。クラーケンはKeepKeyに電圧依存の欠陥が存在すると指摘。物理的アクセスにより、およそ15分間の総当たり攻撃でPINコードロックが解除されてしまう可能性があるという。つまり、同ウォレットを紛失した場合、ひも付けた口座の安全は保証されない。

クラーケンによると、KeepKeyの欠陥は採用するマイクロコントローラ固有のものだという。同ウォレットは1から9桁のPINコードで記録内容を暗号化しているが、クラーケンは、このセキュリティが容易に突破される可能性を指摘しており、ハードウェアを作り直すほかに対策はないと述べている。

また、同社はチップの欠陥について技術的解説を行い、PINコードの解析マシンが作成可能であることを示した。このハッキング機器はKeepKeyに対しては使い回すことが可能。機材の調達費用は約75ドルだったという。安価で解析が可能であるため、利用者が攻撃の対象とされる可能性があるとして、注意を呼びかけている。

検証のためにクラーケンが作成した解析デバイス（発表資料より引用）

攻撃への対策としては、KeepKeyを物理的に紛失しないことがまず重要となる。解析そのものへの対策としては、PINコードではなくBIP39パスフレーズを用いたロック方式に設定することが有効だという。だが、使用のたびに長大な文字列の入力が必要となるため、利便性は著しく損なう。

クラーケンはKeepKeyの脆弱性について、9月11日にShapeShiftへ報告を行ったという。その後、同社から製品に対するアップデートは行われなかったが、最初の報告から2か月が経過した今回、利用者の資産を保護するために情報の一般公開を行ったとしている。