グーグルの「Titan」セキュリティキーに脆弱性、無償交換へ--Bluetooth版で

　Googleは米国時間5月15日、同社のセキュリティキー「Titan Security Key」に関する警告を発表した。対象となるのは同デバイスのBluetoothバージョンで、Bluetoothのペアリングプロトコルにおける設定ミスが原因だという。

提供：Sarah Tew/CNET

　Googleによると、ユーザーはアカウントにサインインする際、Titan Security Keyのボタンを押してアクティブにすよう求められる。その際、ユーザーのデバイスとBluetoothセキュリティキーが接続する前に、半径30フィート（約9.1m）以内にいる攻撃者が自分のデバイスをこのセキュリティキーに接続させてしまう恐れがある。この場合、攻撃者がユーザーのログイン情報をすでに知っていれば、そのユーザーのアカウントにアクセスが可能になる。

　また、Titan Security Keyを利用するには、デバイスとペアリングする必要がある。ペアリングが完了した後、近くにいる攻撃者は自分のBluetoothデバイスをユーザーのセキュリティキーとして偽装し、ユーザーがボタンを押すよう求められた際にユーザーのデバイスに接続できる可能性がある。その後、その不正なデバイスをBluetoothキーボードやマウスのように変更して、ユーザーのデバイスを操作できる可能性があるという。

　セキュリティは一般的に、アカウント侵害を防ぐ有効な手段となっているが、今回のGoogleの発表を見ると、ハッカーがこれを迂回（うかい）する方法を見つける余地はまだあるようだ。それでも、攻撃者がこの脆弱性を悪用するには、攻撃対象の近くで、標的を定めた一連の攻撃を行う必要がある。

　この脆弱性の影響を受けるTitan Security Keyには、背面に「T1」または「T2」という文字がある。Googleは対象となる端末について、無償で交換に応じている。

　Titan Security KeyにはUSBバージョンもあるが、こちらは今回のバグの影響を受けない。