2 ポイント 投稿者 GN⁺ 2024-11-12 | 1件のコメント | WhatsAppで共有
  • EUCLEAK攻撃に脆弱なファームウェアが入ったYubiKeyの旧型在庫が、廃棄されずに引き続き販売されているとの情報提供が出ている
  • 根拠は Fefe's Blog の読者投稿であり、公式発表やメーカー確認の内容は含まれていない
  • 現時点で確認できる範囲は「旧型在庫」と「脆弱なファームウェア」という水準にとどまり、モデル名・ファームウェアバージョンは提供されていない
  • 販売継続の有無も “apparently” という表現に基づいており、確定した事実というより情報提供ベースの状況と見るべき
  • 新たに購入したYubiKeyであっても、ファームウェアの脆弱性有無を別途確認する必要があるかもしれない

情報提供で確認された範囲

  • YubiKeyが EUCLEAK攻撃に脆弱なファームウェアを含む旧型在庫を引き続き販売しているという内容が共有された
  • 当該在庫は廃棄されずに販売されていると伝えられている
  • 根拠として Fefe's Blog に掲載された読者投稿が言及されている

まだ欠けている確認情報

  • 具体的な YubiKeyのモデル名、ファームウェアバージョン、販売地域、販売チャネルは提供されていない
  • YubiKey側の公式見解や対応の有無も含まれていない

1件のコメント

 
GN⁺ 2024-11-12
Hacker Newsの意見
  • YubiKeyの脆弱性発表を見逃していたが、個人の脅威モデルには大きな影響はない

    • 攻撃者がYubiKeyを物理的に所持し、標的アカウントに関する知識と専門機器を必要とする
    • ユーザー名、PIN、アカウントのパスワード、認証鍵などの追加情報が必要になる可能性がある
  • Yubicoが脆弱なキーを廃棄せずに販売しているとの指摘がある

    • 新しいファームウェアのキーは、まず組織および「優先顧客」に供給される
  • 顧客がYubicoを信頼できるのかという疑問が提起されている

    • メーカーは顧客保護のために努力すべきだという期待がある
    • 脆弱なキーを販売することは信頼違反と見なされる
  • YubiKeyを紛失するとデータが危殆化する可能性がある

    • 14年間発見されなかった脆弱性が存在する
    • YubiKeyを分解しなくても秘密を抽出できる方法がある
  • Yubicoがキーを販売する理由は、ファームウェアのバージョンを明確に表示するのにコストがかかるためだとされる

    • 競合が参入する好機に見える
    • Nitrokeyが有力な代替案として挙げられている
  • セキュリティトークンを購入する際は、オープンなファームウェアとハードウェアを持つ製品を好む

    • 独立して検査された製品を求めている
    • ファームウェアをロードして更新できる機能があると望ましい
  • Nitrokeyを推奨する

    • ソフトウェアはGitHubで公開されている
  • 旧型のYubiKeyを割引価格で購入してもよいと考えている

    • 個人の脅威モデルでは、盗まれたキーへの耐性はそれほど重要ではない
  • 顧客はセキュリティトークンを選ぶ最終段階にいた

    • YubiKeyはもはや選択肢ではない
    • 欠陥への対処方法に失望している
  • Yubicoのキーを購入すると、手動で送られる押しの強い営業メールを受け取る可能性がある