仮想通貨は別名、デジタルコインと呼べれその名の通りインタネット社会に適合した次世代の通貨として注目されている。
そして仮想通貨にはそれらの資金を奪おうとする悪意あるハッカー存在しており、それらのハッカーなどから資金を守るためのサービスの提供も進化している。
研究者やエンジニアを含む3人の人物は、第35回となるChaos Communication Congressのプレゼンテーションにて、安全なセキュリティおよびそれらに関するサービスを提供している企業「Trezor」「Ledger」のウォレットに軟弱性があると主張したのだ。
これに対して「Trezor」「Ledger」は、既にユーザーが使用しているウォレットは安全であり、保有している仮想通貨資産の残高も安全であると主張した。
Chaos Communication Congressのプレゼンテーション
今回の「Trezor」および「Ledger」の軟弱性をプレゼンテーションしたのは、ハードウェア設計およびセキュリティエンジニアのDmitry Nedospasov氏、フォーブス誌の30歳未満のテクノロジー部門の30人の1人に選ばれたThomas Roth氏、システムエンジニアおyいびセキュリティ研究者であるJosh Datko氏の3人が行なった。
プレゼンテーションの内容は、世界中で最も人気のある仮想通貨ハードウォレットを提供する2つのウォレットに対して、悪意あるハッカーなどがウォレットに対して攻撃や資金をハッキングするために侵入することが実際に可能であるのか発見するというものだ。
同プレゼンテーションの内容は専門サイト「Wallet.fail」にて動画がアップロードされている。
しかし、今回発表されたプレゼンテーションにて「Trezor」「Ledger」ともに、ウォレットの安全性は確保されていると主張している。
「Ledger」の主張
まず、「Ledger」は自身のブログにて「Wallet.failのプレゼンテーションへの応答として」と題して回答した。
まず冒頭では、Chaos Communication Congressにて3人はプレゼンテーションを行い、そこではハードウォレットがいくつかの種類に対して軟弱であることを実証していた、と説明。
これに続けて「Ledger」はハードウォレットの安全性を次のように説明している。
Ledgerに関して、彼らはLedgerデバイスで重大な脆弱性が発見されたという印象を与える3つの攻撃経路を提示しました。これはそうではありません。特に彼らは盗まれたデバイス上でシードもPINも抽出することに成功しませんでした。Secure Elementに保存されているすべての機密資産は安全なままです。
心配しないで、あなたの暗号資産はまだあなたの元帳デバイス上で安全です。
「Trezor」の主張
それに対して「Trezor」は、自身の公式ツイターにて次のように発言した。ツイターでは「私たちは、それが到着してから情報に関する作業をしています。」と一部の軟弱性を認めるような発言をした。
Regarding the presentation at #35c3, we were not informed ahead of time about the details of the disclosure. We are working with the info as it arrives.
We will address the vulnerability in due time—as soon as possible.
Details in thread:
— Trezor (@Trezor) 2018年12月28日
しかし、それらの軟弱性を「これらが危険な場合としては物理的な問題が挙げられます。攻撃者は物理的にアクセスし、ケース(ウォレット)を壊す可能性があります。あなたの「Trezor」をつか続けることについて、これらのプレゼンテーションによる軟弱性はあなたにとって脅威ではありません。」と説明した。
「Ledger」「Trezor」は、ともに仮想通貨市場ではトップのシェアを誇る。現に、「Ledger」のウォレットは2017年だけで100万台以上を販売している。さらに最近では匿名性通貨で最も人気のある仮想通貨モネロ(XMR)のサポートを発表。「Trezor」も同様にセキュリティに関する研究を続けており、仮想通貨イーサリアム(ETH)のサポートを発表してる。
