ユーザーは改良版への交換を。GoogleがBluetooth版Titanセキュリティキーをリコール

Googleは5月15日（現地時間）、2018年にリリースしたTitanセキュリティキーにセキュリティ上の問題が見つかったとして、無償交換を開始しました。

関連記事：
Google印のセキュリティキー、Titan Security Key発表。普及のきっかけになるか？
スマホで手軽に2段階認証できる？ Bluetooth対応のMultiPass FIDOセキュリティキーを試す

影響を受けるのは、Bluetooth Low Energy（BLE）に対応したTitanセキュリティキー（上図左側）。Bluetoothペアリングのプロトコル設定が誤っており、特定の条件でセキュリティキーの認証を攻撃者のデバイス上で実施できるとのことです。

ただしこれを行うには、攻撃者がユーザーのすぐ近く（30フィート、約9ｍ以内）に潜んでおり、ユーザーがセキュリティキーを使うタイミングを待つ必要があります。この脆弱性を悪用された場合、ユーザーがTitanセキュリティキーのボタンを押したときに、攻撃者側のデバイスに接続されてしまう可能性があるとのことです。もし事前にユーザーIDとパスワードが知られていれば2段階認証がクリアされ、アカウントにアクセスされる可能性があります。

また、Titanセキュリティキーを利用するには、デバイスとペアリングする必要があります。もしこのときに近くに潜む攻撃者が、自身のデバイスをセキュリティキーと偽装してユーザーのデバイスに登録した場合は、その後、Bluetoothキーボードやマウスとして、ユーザーのデバイスを操作できる可能性があるともしています。

なお、すべてのTitanセキュリティキーに問題があるわけではなく、対象はバージョン番号が「T1」「T2」のもの。本体背面下部に印字されています。

日本ではTitanセキュリティキーは販売されていませんが、日本でも販売していたFeitian（飛天）のMultiPass FIDO Security Keyも影響を受けます。こちらは、バージョン番号1、2、3のものが対象です。

なお、GoogleとFeitianはともに無償交換を実施していますが、攻撃を行う条件が非常に厳しいため、2段階認証をオフにしたり、SMSコード入力などにダウングレードするよりも、問題のあるセキュリティキーを使用していたほうが安全性が高いとしています。