YubiKey、脆弱なファームウェア搭載の旧型在庫を依然として販売中との情報提供
(news.ycombinator.com)- EUCLEAK攻撃に脆弱なファームウェアが入ったYubiKeyの旧型在庫が、廃棄されずに引き続き販売されているとの情報提供が出ている
- 根拠は Fefe's Blog の読者投稿であり、公式発表やメーカー確認の内容は含まれていない
- 現時点で確認できる範囲は「旧型在庫」と「脆弱なファームウェア」という水準にとどまり、モデル名・ファームウェアバージョンは提供されていない
- 販売継続の有無も “apparently” という表現に基づいており、確定した事実というより情報提供ベースの状況と見るべき
- 新たに購入したYubiKeyであっても、ファームウェアの脆弱性有無を別途確認する必要があるかもしれない
情報提供で確認された範囲
- YubiKeyが EUCLEAK攻撃に脆弱なファームウェアを含む旧型在庫を引き続き販売しているという内容が共有された
- 当該在庫は廃棄されずに販売されていると伝えられている
- 根拠として Fefe's Blog に掲載された読者投稿が言及されている
まだ欠けている確認情報
- 具体的な YubiKeyのモデル名、ファームウェアバージョン、販売地域、販売チャネルは提供されていない
- YubiKey側の公式見解や対応の有無も含まれていない
1件のコメント
Hacker Newsの意見
YubiKeyの脆弱性発表を見逃していたが、個人の脅威モデルには大きな影響はない
Yubicoが脆弱なキーを廃棄せずに販売しているとの指摘がある
顧客がYubicoを信頼できるのかという疑問が提起されている
YubiKeyを紛失するとデータが危殆化する可能性がある
Yubicoがキーを販売する理由は、ファームウェアのバージョンを明確に表示するのにコストがかかるためだとされる
セキュリティトークンを購入する際は、オープンなファームウェアとハードウェアを持つ製品を好む
Nitrokeyを推奨する
旧型のYubiKeyを割引価格で購入してもよいと考えている
顧客はセキュリティトークンを選ぶ最終段階にいた
Yubicoのキーを購入すると、手動で送られる押しの強い営業メールを受け取る可能性がある