【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
[英国]
セキュリティ専門家が英国のRFIDパスポートのクラッキングに成功
本物のパスポートを使ったデータ抜き取り実験で実証
(2007年03月07日)
英国政府が国際犯罪と不法入国を防止するための対策として導入した新しいRFID(Radio Frequency Identification)ベースの生体認証パスポートのクラッキングにセキュリティ専門家が成功したことが明らかになった。
RFIDとBluetooth技術に携わってきたセキュリティ・コンサルタントのアダム・ローリー氏は、一般的なRFIDリーダーとカスタム・コードを使って、封筒に入っているパスポートからRFIDチップのデータだけを抜き取ることに成功したことを公表した。被害者にはデータが抜き取られたことがまったくわからないという。
ローリー氏は、「まったく恐ろしいことだ。なにしろ証拠が残らない。被害者が気づかなければ通報されることもない」と指摘する。同氏が明らかにしたクラッキングの方法は英国のデイリー・メール新聞の日曜版に詳しく紹介されている。
 |
| 英国政府が発行するRFIDパスポート |
英国政府は1年前からRFIDパスポートを発行しており、最終的にはチップに指紋や他の生体データも記録する計画だが、プライバシー保護団体はデータの格納方法やその扱い方に懸念を表明している。
現在、RFIDチップにはパスポートに印刷されている情報と本人の写真、そのファイルが過去に改竄されてないかを検出するためのセキュリティ技術が格納されている。
ローリー氏によると、RFIDチップは数センチ離れた距離からでも読み取ることができるため、パスポート発行局から配送される封筒に入ったままの状態でクラッキングできたという。同氏が今回検証したのは、生体認証パスポートとIDカードに反対する英国の団体「No2ID」のメンバーである女性が申請したパスポートである。
パスポートのチップに格納されているデータは、RFIDリーダーが暗号鍵を提供するまでロックされている。暗号鍵は、誕生日など、本人の個人データの組み合わせを使って計算され、パスポートの1ページ目の下にある「機械読み取り領域(MRZ: Machine Readable Zone)」にアルファベットと数字の文字列として格納される。
出入国窓口に設置された光学式文字読取装置でMRZをスキャンして暗号鍵を取得すると、RFIDチップのロックが解除され、チップ内の情報とパスポートの情報が照合されるという仕組みである。
しかし、ローリー氏はこのプロセスを自分で行うことに成功した。同氏は、機械読取式のパスポート用として世界中で採用されている国際民間航空機関(ICAO)の規格「ICAO 9303」を解析することでMRZの構造を突き止めた。
同氏によると、検証に協力した女性のパスポートの暗号鍵を計算する元となる個人情報を事前にある程度知っていたため、インターネット検索によってさらに詳しい情報を突き止めることができたという。
同氏が次に行ったのは、暗号鍵を検出するために、データのさまざまな組み合わせを繰り返し試す、いわゆる「総当り攻撃」のプログラム・コードの作成である。このプログラムを使って4万回繰り返した結果、ついに暗号鍵を破ることに成功したのである。
チップのスキャンには、現在ドイツのアッサ・アブロイ・アイデンティフィケーション・テクノロジーの子会社であるACG IDの一般的なRFIDリーダーが使用された。
その後、ローリー氏はその女性のパスポートを正確に模したコピーを作成することにも成功したという。
しかし、英国内務省は3月6日、パスポートの安全性を擁護し、ハッキングによって安全性が低下することはないとする見解を表明している。
内務省の上席広報担当官、ピーター・ウィルソン氏に電子メールで取材したところ、「チップ内の情報を改竄することはできないため、アダム・ローリー氏の手法が脅威になることはない」とする回答が返ってきた。
さらに、ウィルソン氏は、内務省は英国監査局が先月発表した報告書(PDFファイルで公開)に触れ、偽造パスポートを作るためにはクローン・チップを挿入する必要があるが、パスポートには新しいセキュリティ対策が施されいるため「事実上不可能だ」と説明している。
英国内務省のこうした見解に対して、ローリー氏は、「新しいパスポートはセキュリティが向上していると宣伝されているが、今のところセキュリティが改善されているという実感はない」と反論する。
同パスポートの最大の弱点は、暗号鍵を構成するのに比較的見つけやすいデータを使っていることにあるとローリー氏は指摘する。「もっとランダムな要素を含めれていれば総当り攻撃のプログラムも有効でなくなるはずだ」(同氏)
ローリー氏がクラッキングを始めたのは、自分のパスポートのチップに格納されている情報の内容を知りたかったためだという。
「自分のパスポートの情報を知りたければパスポート発行局に出向かなくてはならないが、私のプログラムを使えば自宅で確認できる」(同氏)
ローリー氏は、ACGとフロッシュ・エレクトロニクスOEG(オーストリア)製のRFIDリーダーで動作できる「Python」プログラミング言語で書かれたオープンソース・ツールのライブラリをインターネット・サイト上で公開している。
(ジェレミー・カーク/IDG News Service ロンドン支局)
- 英国内務省
- http://www.homeoffice.gov.uk/
- 英国ID/パスポート・サービス
- http://www.passport.gov.uk/
