2月6日の日記で「 ICカードの非接触スキミングですって? ええかげんなことぬかすな」というのを書いたが、ICカードならばなりすましできないとまでは言わないように、表現 に気をつけたつもりだった。
「磁気ストライプと違って、読み出せるからといって、なりすませることには ならない。
この番組で言われているような方法での複製はできない。
しかし改めて読み返してみると、
たとえばEdyでは、EdyカードからEdyナンバーを誰でも読み取れるが、Edyのリーダ・ライタに対して、なりすましてそれを与えることはできない。暗号を破らない限り。そのように作られているはずだ。
というのはちょっと勇み足だった。3月5日の日記「Edyナンバーをいろいろ流用するのが花盛り」でも、
磁気ストライプカードやRFIDタグと違って、ICカードは暗号演算機能を持つので、たとえEdyナンバーが誰でも読み出せるものであっても、リーダとの通信プロトコルにおいて、そのEdyナンバーとしてリーダに認識させるように振舞うことは困難になっているのであるから、このような応用は技術的には正しいといえる。
と書いたがこれも、安全さを強調しすぎる表現にしてしまっていた。ICカード に対するICタグの安全性の低さを説明するために、比較の問題としてICカード の特性を示したため、安全さを強調しすぎてしまった。
接触型のICカードにおいても、かねてより、利用者が誤って偽装置に挿入して しまうことの問題点が指摘されてきていたし、非接触型においてはその危険性 が増大するという懸念は、表でも指摘が出ていた。そうした攻撃への対策は なされているとの噂も耳にしているが、本当にできているのかどうかは 知らない。現実の攻撃の可能性を減らすことはできても、完全にリスクをなく すのは無理な気もしないでもない。
2月6日の日記で言いたかったことは、危険性を訴えるならば検証してからにし てもらいたいということだった。なので、今、ICカードも実は危ないんで はないかというようなことを証拠もなく言いたくはないのであるが、 今まさに銀行のキャッシュカードをどうするかということが焦点となり、 さらには、その安全性の前提が、預金者保護の制度作りがされるのかされない のかに影響を及ぼすかもしれないという今の状況がある中では、 「ICカードは安全です」ということになってしまってはいけないと思う。
リンク元をだどってあちこちのblogや掲示板などを見てまわったところ、 Suicaのお金を非接触読取りで盗まれるのではないかといったよくある不安に 対して、それはあり得ないことだと説明をしている人が何人かいるのを見たの で、ちょっと責任を感じてしまった。本当にそうかどうかはわからないので、 もし仮に、知らないうちに残金が減っているという現象が起きているなら、あ り得ないことと断定するのではなしに、疑うこともした方がよいかもしれない。
プリペイドカードくらいならば、そこまでする盗賊は現れないだろうという 前提による安全性なのかもしれないが、これが銀行のキャッシュカードと なると話は別で、盗賊たちはどこまでもやるのかもしれない。
少なくとも銀行のキャッシュカードについては、非接触型にするのは本当に やめたほうがいい。その必要もないのだから。ATMを「タッチアンドゴー」で 使いたいわけではあるまい。
やっぱり本当に、「財布には電磁シールドが必須」という未来が現実となる日 がやってくるのかもしれない。
3月5日の日記で「Suica番号がメールアドレスと結び付けられ始めた」というのを書いたのだったが……
ウアアアァァァァ・・‥‥……。正直、知らんかった。
yoshinovさんか……。そういえばリンク元にも……。 とりあえず週明けにコンタクトしてみるとするか。 (他にもアレなナニがあるし。)
第8回 コンピュータ犯罪に 関する白浜シンポジウムの講演録が公開されていた。
<事務局より>
今回、高木先生がご多忙なため最終原稿を見ていただいておりません。 手違いがございましたら、事務局まで。
グアァ……。すみませんすみませんすみません。 意味の通らない文が何箇所かあるので、連絡入れます。 これだけの分量の大半を正確に文字おこししていただいており、感謝します。
ビデオも公開したいのですが、どうやって公開したものかと思案中です。
講演内容が無料で公開されています。 via 高木浩光@自宅の日記...