【CVE-2024-45678】Yubico製品に観測可能な不一致の脆弱性、多数のYubiKey製品が影響を受け情報漏洩のリスクあり

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Yubico製品に観測可能な不一致の脆弱性
多数のYubiKey製品が影響を受ける
情報漏洩のリスクがあり対策が必要

Yubico製品の脆弱性CVE-2024-45678が公開

Yubicoは2024年9月3日、同社の多数のYubiKey製品に観測可能な不一致に関する脆弱性が存在することを公開した。この脆弱性はCVE-2024-45678として識別されており、YubiKey 5シリーズやSecurity Keyシリーズなど広範な製品に影響を与える。攻撃者が物理的にデバイスにアクセスできる環境下で、高度な技術を用いることで機密情報を取得できる可能性がある。^[1]

CVSSv3による基本値は4.2（警告）とされており、攻撃元区分は物理、攻撃条件の複雑さは高いとされている。また、攻撃に必要な特権レベルは不要だが、利用者の関与は不要とされており、影響の想定範囲に変更はないとされている。機密性への影響は高いとされているが、完全性と可用性への影響はないと評価されている。

影響を受ける製品のファームウェアバージョンは、YubiKey 5シリーズやSecurity Keyシリーズでは5.7未満、YubiHSM 2シリーズでは2.4.0未満となっている。Yubicoは該当する製品のユーザーに対して、ベンダーが提供する最新のファームウェアへのアップデートを推奨している。この脆弱性に関する詳細情報は、Yubicoの公式サイトで公開されているセキュリティアドバイザリYSA-2024-03を参照することができる。

Yubico製品の脆弱性CVE-2024-45678の影響

製品シリーズ	影響を受けるバージョン	CVSSスコア	攻撃条件
YubiKey 5シリーズ	ファームウェア5.7未満	4.2（警告）	物理的アクセス必要
Security Keyシリーズ	ファームウェア5.7未満	4.2（警告）	物理的アクセス必要
YubiHSM 2シリーズ	ファームウェア2.4.0未満	4.2（警告）	物理的アクセス必要

観測可能な不一致について

観測可能な不一致とは、システムの振る舞いや出力の微妙な違いを観察することで、本来秘密であるべき情報を推測できてしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

処理時間の差異から情報を推測可能
エラーメッセージの違いから内部状態を推測可能
消費電力や電磁波の変化から処理内容を推測可能

CVE-2024-45678の場合、YubiKey製品の物理的な特性を利用した高度な側面チャネル攻撃により、デバイス内の機密情報が漏洩する可能性がある。この種の脆弱性は、通常のソフトウェアテストでは検出が困難であり、特殊な機器や技術を用いた詳細な解析が必要となる。Yubicoは今回の脆弱性発見を受け、製品のセキュリティ強化と迅速なファームウェアアップデートの提供に取り組んでいる。

Yubico製品の脆弱性CVE-2024-45678に関する考察

Yubico製品の脆弱性CVE-2024-45678の発見は、物理セキュリティデバイスの安全性に対する新たな課題を提起している。YubiKeyのような多要素認証デバイスは、オンラインセキュリティの要としての役割を果たしており、その信頼性は極めて重要だ。今回の脆弱性が物理的アクセスを必要とすることは、リスクを一定程度軽減する要因となっているが、企業や政府機関などの高セキュリティ環境では深刻な脅威となり得る。

今後の課題として、物理デバイスに対する側面チャネル攻撃への耐性強化が挙げられる。ハードウェアレベルでの対策が必要となるため、製品設計の段階から綿密なセキュリティ検討が求められるだろう。また、ユーザー側でも物理的なデバイス管理の重要性が再認識される契機となる。定期的なファームウェアアップデートの実施や、デバイスの物理的な保護措置の徹底が、今後より一層重要になってくる。

Yubicoには、今回の脆弱性対応を通じて得られた知見を今後の製品開発に活かすことが期待される。特に、ハードウェアセキュリティモジュール（HSM）の設計においては、より高度な耐タンパー性や側面チャネル攻撃への耐性を組み込むことが求められるだろう。同時に、業界全体としても、物理セキュリティデバイスの評価基準や検証方法の見直しが必要になる可能性がある。セキュリティ研究者とメーカーの協力関係を強化し、継続的な脆弱性検出と迅速な対応体制の構築が、今後の課題となるだろう。