TOPセキュリティ > GoogleがTitanセキュリティキーを無償交換へ、Blu...

セキュリティ

GoogleがTitanセキュリティキーを無償交換へ、Bluetooth版に脆弱性

2019/05/17

Michael Simon PCWorld

 米Googleのセキュリティキー「Titan」を購入して2要素認証を使っている人は、アカウントの守りは万全だと思っているはずだ。実際、Google公式ストアでTitanの商品説明を見ると、「Google内で運用されているのと同等レベルのセキュリティが採用されています」「フィッシングを防止し、オンラインアカウントへの不正アクセスを防ぎます」とうたっている。

Credit: Google

 だが、必ずしも完璧ではなかったようだ。Googleは2019年5月15日、TitanのBluetooth Low Energy(BLE)版のキーでセキュリティ上の問題が見つかったことを、公式セキュリティブログの記事で明らかにした。Bluetoothのペアリングのプロトコルに設定ミスがあり、利用者の近くにいる攻撃者が、セキュリティキーや、そのキーとペアリングされているデバイスとの間で、通信を行うことが不可能ではないという。

 ブログ記事の説明によると、今回の問題で考えられる攻撃方法は2つある。1つは、セキュリティキーとペアリングしたデバイスでアカウントにログインする時に、利用者がキーのボタンを押すタイミングで、攻撃者のデバイスが利用者自身のデバイスより先にキーに接続し、アカウントにログインできるというもの。攻撃者は、その利用者のユーザー名とパスワードを何らかの方法で入手しておき、またタイミングを正確に合わせてアクションを起こす必要がある。

↑ページ先頭へ