グーグルの「Titan」セキュリティキーに脆弱性、無償交換へ--Bluetooth版で

Alfred Ng (CNET News) 翻訳校正: 佐藤卓 長谷睦 (ガリレオ) 編集部2019年05月16日 11時46分

 Googleは米国時間5月15日、同社のセキュリティキー「Titan Security Key」に関する警告を発表した。対象となるのは同デバイスのBluetoothバージョンで、Bluetoothのペアリングプロトコルにおける設定ミスが原因だという。

Titan Security Key
提供:Sarah Tew/CNET

 Googleによると、ユーザーはアカウントにサインインする際、Titan Security Keyのボタンを押してアクティブにすよう求められる。その際、ユーザーのデバイスとBluetoothセキュリティキーが接続する前に、半径30フィート(約9.1m)以内にいる攻撃者が自分のデバイスをこのセキュリティキーに接続させてしまう恐れがある。この場合、攻撃者がユーザーのログイン情報をすでに知っていれば、そのユーザーのアカウントにアクセスが可能になる。

 また、Titan Security Keyを利用するには、デバイスとペアリングする必要がある。ペアリングが完了した後、近くにいる攻撃者は自分のBluetoothデバイスをユーザーのセキュリティキーとして偽装し、ユーザーがボタンを押すよう求められた際にユーザーのデバイスに接続できる可能性がある。その後、その不正なデバイスをBluetoothキーボードやマウスのように変更して、ユーザーのデバイスを操作できる可能性があるという。

 セキュリティは一般的に、アカウント侵害を防ぐ有効な手段となっているが、今回のGoogleの発表を見ると、ハッカーがこれを迂回(うかい)する方法を見つける余地はまだあるようだ。それでも、攻撃者がこの脆弱性を悪用するには、攻撃対象の近くで、標的を定めた一連の攻撃を行う必要がある。

 この脆弱性の影響を受けるTitan Security Keyには、背面に「T1」または「T2」という文字がある。Googleは対象となる端末について、無償で交換に応じている

 Titan Security KeyにはUSBバージョンもあるが、こちらは今回のバグの影響を受けない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]