「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ～「WinSCP」など他ツールにも影響

「PuTTY」v0.81

　リモートログオンクライアント「PuTTY」の最新版v0.81が、4月15日に公開された。たった60個ほどの署名からNIST P-521秘密鍵を復元できてしまう脆弱性（CVE-2024-31497）を修正したセキュリティアップデートとなっている。

We found a critical vulnerability in#PuTTYSSH client with NIST P-521 keys, that allows private key recovery from only 60 signatures, CVE-2024-31497! If you use#Puttyor#Filezillawith ECDSA P-521, upgrade now and generate a new key! Joint work with@TrueSkrillor, details ⬇️

— Marcus Brinkmann (@lambdafu)April 15, 2024

　この脆弱性が影響するのは、「PuTTY 0.68」から「PuTTY 0.80」までのバージョン。ECDSA署名では一度だけ利用される秘密の番号（nonce）を必要とするが、「PuTTY」を含む一部のプログラムではこれが十分にランダムではないため、公開されている署名を少し集めるだけで、ローカルのオフライン環境で秘密鍵を算出できてしまう可能性がある。

　算出された秘密鍵は、不正アクセスや「Git」で管理されているソフトウェアに対するサプライチェーン攻撃に用いられる可能性がある。「PuTTY 0.81」へアップグレードするだけでなく、鍵の再生成が必要だ。「PuTTY 0.81」ではnonceの生成処理がより安全な方法（RFC6979）へ差し替えられている。

　なお、「PuTTY」はさまざまなアプリにバンドル（同梱）されているので注意。「FileZilla」や「TortoiseGit」にはすでに対策版がある（それぞれv3.67.0、v2.15.0.1 hotfix）。「WinSCP」にはまだアップデートがないが、提供され次第更新を済ませておきたい。