Googleは米国時間5月15日、同社のセキュリティキー「Titan Security Key」に関する警告を発表した。対象となるのは同デバイスのBluetoothバージョンで、Bluetoothのペアリングプロトコルにおける設定ミスが原因だという。
Googleによると、ユーザーはアカウントにサインインする際、Titan Security Keyのボタンを押してアクティブにすよう求められる。その際、ユーザーのデバイスとBluetoothセキュリティキーが接続する前に、半径30フィート(約9.1m)以内にいる攻撃者が自分のデバイスをこのセキュリティキーに接続させてしまう恐れがある。この場合、攻撃者がユーザーのログイン情報をすでに知っていれば、そのユーザーのアカウントにアクセスが可能になる。
また、Titan Security Keyを利用するには、デバイスとペアリングする必要がある。ペアリングが完了した後、近くにいる攻撃者は自分のBluetoothデバイスをユーザーのセキュリティキーとして偽装し、ユーザーがボタンを押すよう求められた際にユーザーのデバイスに接続できる可能性がある。その後、その不正なデバイスをBluetoothキーボードやマウスのように変更して、ユーザーのデバイスを操作できる可能性があるという。
セキュリティは一般的に、アカウント侵害を防ぐ有効な手段となっているが、今回のGoogleの発表を見ると、ハッカーがこれを迂回(うかい)する方法を見つける余地はまだあるようだ。それでも、攻撃者がこの脆弱性を悪用するには、攻撃対象の近くで、標的を定めた一連の攻撃を行う必要がある。
この脆弱性の影響を受けるTitan Security Keyには、背面に「T1」または「T2」という文字がある。Googleは対象となる端末について、無償で交換に応じている。
Titan Security KeyにはUSBバージョンもあるが、こちらは今回のバグの影響を受けない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス