【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
「ICカードの暗号は数分で解読可能」――RFIDのセキュリティ懸念広がる
揺らぐ「Mifare Classic」カードの信頼性。カード偽造や個人情報漏洩の危険性も
(2008年03月10日)
昨年12月、ドイツの名高いハッカー・グループChaos Computer Club(CCC)がベルリンにて開催した「第24回会議(24th Congress)」において、3人の若いセキュリティ研究者が、RFID(無線ICタグ)を利用したスマートカードの不正読み取りが以前よりもはるかに容易かつ安価に行えるようになっているという事実をデモンストレーションを通じて実証した。それを機に、ICカードの脆弱性に対する関心が、セキュリティ・ハッカー以外の世界にも広がり始めている。
デモでは、オランダのPhilipsから分離独立したNXP Semiconductorsが製造し、現在広く利用されている「Mifare Classic」ワイヤレス・スマートカードの暗号を解読するもようが披露された。暗号が解読されるということは、カードの偽物が作成可能で、ユーザーの個人データや銀行データが第三者に知れ渡ってしまうことを意味する。なお、実演対象になったのはプロセッサが埋め込まれた特定タイプのカードで、クレジットカードに使われているタイプのものではない。
Mifare Classicカードは、オランダの全国規模の交通チケット・システムに採用される予定の「OV-Chipkaart」や、米国ボストンの地下鉄で使用されている「CharlieCard」といった新システムの基盤になっている。暗号が解読されてしまったことが大きな波紋を呼んだ結果、オランダ当局は、現在、ひとまずMifare Classicカードの導入展開を見合わせ、指摘された脆弱性について調査を行っているもようである。
Mifare Classicカードは、ユーザーの銀行口座とのデビット/クレジット決済にも使用できる。そのための重要な個人データは、独自の暗号技術によって暗号化されてカード上に記録されている。
この最新の解読手法のデモを実演した3人の研究者のうち、カーステン・ノール(Karsten Nohl)氏は、米国Virginia大学Charlottesvilleキャンパスにあるコンピュータ・サイエンス学部修士課程の学生であり、他の2人は、ヘンリック・プロッツ(Henryk Plotz)氏と、"Starbug"の通名で呼ばれている人物である。彼らがMifare Classicの暗号鍵を破る実用的かつ効果的な方法を実演したことは、多くの暗号技術者たちが抱いていた懸念を裏書きするものとなった。
同研究チームは、暗号化されたデータを収集するために安価なRFIDリーダを使用し、その後、そのデータを復号するための暗号鍵を割り出すために同チップのリバース・エンジニアリングを行った。彼らはチップを光学式顕微鏡で調べ、微細研磨用のサンドペーパーで表面を数ミクロンずつ削り落とし、5層の回路それぞれを写真に収めた。ノール氏はイメージを鮮明化するために光学認識ソフトウェアを独自に開発し、暗号化アルゴリズムを推測するために論理ゲートの配置を辛抱強く調べた。その結果、Mifare Classicはわずか48ビットの秘密鍵に頼っていることが割り出されたという。
同研究チームは1月8日付けの事後声明で、次のように指摘している。「どんなに強固な暗号化方式を採用していようと、暗号の長さが短ければ、RFIDカードの偽造は可能である。暗号の詳細がわかれば、だれでも数日がかりであり得る鍵のすべてを試すことができるだろう。また、暗号化方式の弱点についての基本的知識があれば、カードの秘密鍵はわずか数分程度で割り出すことができる」
ちなみに、オランダの交通システムが提供する従来型のチケットとカードは、2つのタイプの暗号化技術が用いられているが、すでに別の研究者らがその両方への攻撃を成功させていた。
なお、ノール氏らの研究チームは、自分たちの見つけた方法は他のタイプのPhillipsのRFIDタグ(「Hitag2+」や「Mifare DESfire」など)には影響しないとしている。
RFIDのセキュリティに対する懸念は過去1年で大きく高まってきた。ハッカーや研究者たちが、RFIDの脆弱性を理解しようとますます力を注ぐようになっていることも、その背景にある。例えば、ある研究チームは2007年半ばに、普通に手に入る市販のRFID機器を利用して、トレーラーに乗せられた荷箱に付いている無線ICタグからEPC(Electronic Product Code)データを読み取れることを実証した。また1年前には別のグループが、無線ICタグがコンピュータ・ウイルスに感染する可能性があるという発表を行っている。
(John Cox/Network World 米国版)
[世界]【Gartner調査】2008年の世界RFID市場、売上げは30%増の見通し
市場には第2波が押し寄せ、「開拓時代」に突入
[米国]【IT・ゆく年くる年】2007年、プライバシー/データ侵害は依然として蔓延
米国では企業の6割以上が個人情報の侵害を経験
[台湾]【Taiwan Int'l RFID Applications Show】「RFIDの導入で年間2億8,700万ドルの売上増を目指す」――ウォルマート幹部
プロジェクト進捗の遅れを巻き返すべく奮戦する先進RFIDユーザー企業
担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために
[北米]【フロスト&サリバン予測】北米のパッシブRFIDタグ市場、2013年までに5億ドル規模に拡大へ
それでもタグ・ベンダーの期待値には届かず
