平素は格別のご愛顧を賜り、厚くお礼申し上げます。
Feitian Technologies社とGoogle社は2019年5月15日(米国現地時間)、Feitian Technologies社のOEM製品としてGoogle社に2018年から供給を開始した「Titanセキュリティキー」(下図と同等機能製品)に、Bluetoothペアリングのプロトコル設定上の問題が見つかったとして、無償交換を開始しました。

対象プロダクト名:「MultiPass FIDO Security key」(K13)~Bluetooth Low Energy(BLE)対応



原因は、Bluetoothペアリングのプロトコル設定方法に問題があり、特定の条件でセキュリティキーの認証を攻撃者のデバイス上で実施できてしまうというリスクがあります。ただし、これを行うには、既に攻撃者側にユーザのユーザIDとパスワードが漏れており、且つ攻撃者がユーザのすぐ近く(約9m以内)に潜んでいて、ユーザがセキュリティキーを使うタイミングを狙っているという前提条件が揃う必要があります。 この脆弱性が悪用された場合には、ユーザがセキュリティキーのボタンを押した際に、攻撃者側のデバイスに接続されてしまう可能性があります。そうした場合、攻撃者によって二段階認証がクリアされ、ユーザのアカウントにアクセスされる可能性があります。 尚、本リスクはBluetoothを利用されない場合には発生いたしません。

日本国内では、当社より販売している「MultiPass FIDO Security Key」(上図)がこの影響を受けます。現在Feitian Technologies社に交換品の提供を手配中であり、当社に交換品が届き次第、速やかに国内でも無償交換を開始いたします。

尚、Google社とFeitian Technologies社はともに無償交換の実施を開始しましたが、攻撃者が攻撃を行う際の前提条件が非常に厳しい事とフィッシング防止機能は引き続き有効である事から、セキュリティキーを全く利用せずに受けるリスクよりも、キーを利用する方がはるかに安全です。セキュリティキーは、現在利用可能なフィッシングに対する最も強力な保護策です。

当社より「MultiPass FIDO Security Key」をご購入されたお客様には、電子メールにてご連絡させていただきます。
また本件に関する問い合わせ先は以下の通りです。

飛天ジャパン株式会社
品質保証部
TEL:03-3668-6668 (代表)

※お電話でのお問い合わせは平日10:00~17:00でお願いいたします。