NinjaLabというセキュリティ研究会社が、YubiKeysをクローンする脆弱性を発見しました。この脆弱性はYubiKey 5シリーズで使用されている暗号ライブラリに見つかり、特にマイクロコントローラーに暗号的欠陥があることが指摘されています。YubiKeysはFIDO認証鍵の中で最も有名で、コンピュータに接続しなければアカウントにログインできないため、セキュリティを高める役割を果たしています。
研究者たちは、Infineonの暗号ライブラリに基づくオープンプラットフォームを発見し、すべてのYubiKey 5モデルがクローン可能であることを確認しました。14年間見過ごされていたこの脆弱性ですが、誰もが簡単に利用できるわけではなく、攻撃者はクローンしたいトークンへの物理的アクセスが必要です。そして、専用の機器を使用してトークンを分析しなければなりません。研究者のセットアップ費用は約11,000ドルで、より高価な機器を使うと33,000ドルに達することもあります。さらに、攻撃者は特定のアカウントにアクセスするために対象のPINやパスワード、生体情報が必要になるかもしれません。
要するに、政府機関に属するユーザーや非常に機密性の高い文書を扱う人は特に注意が必要ですが、一般のユーザーにとってはYubiKeyなどのFIDOハードウェア認証トークンを使用する方が安全であると研究者は述べています。
