YubiKeyを買い替える / YSA-2024-03
nyuyuyuYubicoからYubiKeyの脆弱性についてアドバイザリーが発表された。
YubiKeyは主にOpenPGP Cardとして利用しており、署名・暗号化・認証に用いる副鍵を登録している。利用しているYubiKey 5C Nanoのファームウェアは5.2.4なので、残念ながらこの脆弱性の影響を受けるという事が分かった。
さらにアドバイザリーを読み進めると
- Yubicoはこの脆弱性をCVSSスコア4.9(
Moderate)と評価している - (CVSSスコアが高くないので)脆弱なYubiKeyを交換するプログラムは実施しない
- YubiKeyはユーザによるファームウェアのアップデートができない
という事が書いてある。
攻撃者がYubiKeyのクローンを作成するコストが低くないので一個人がそこまで心配する必要は無さそうなのだが、今後もっと低いコストでクローンが作成可能になるかもしれないし、脆弱な事が分かっている製品をわざわざ使い続けるよりもたかだか数千円のコストを払う方が良いだろうという事でYubiKeyを買い直す事にした。
nyuyuyu公式のオンラインストアには在庫がありそうなのでそちらで購入する事に。
ビジネス用と個人用で2つ購入するので費用は$65*2と日本への送料$15の合計$145也。クレジットカードへの請求額は22,000円ほどだった。更に関税として$17程度が配達時に徴収されると。たかだか数千円の出費では済まなかった...。
購入プロセスの途中にコメント欄があったので「ファームウェアが脆弱でない(バージョン5.7.0以上の)ものを送ってね」と書いておいた。公式のストアなので既に在庫は脆弱でないものに置き換わっていると思うが念の為に。
オーダーから配送までは2-3 Business Daysで、配送は1-5 Working Daysとの事なので2週間くらいで届くかな。
nyuyuyu金曜日の夜にオーダーして週明けの月曜日に発送メールが届いた。思ってたよりも早い。はるばるスウェーデンからやってくるらしい。
配送業者はUPSだったのでちょっと安心。今週中には届くらしい。
nyuyuyu予想に反してもう届いてしまった。早い。
届いたYubiKeyのファームウェアは5.7.1で脆弱なものではなかった。これで一安心。
更に関税として$17程度が配達時に徴収されると。
関税はかからなかったが消費税を1,000円請求されたので配達員さんに現金でお支払いした。
UPSの国内配達はヤマト運輸さんがやっているのか配達はヤマト運輸さんだった。