« ニューヨークの非接触決済システム事情 | トップページ | Blinkがやって来たヤァ!ヤァ!ヤァ! »

2006/05/30

Daniel Engelsへのインタビュー(「『RFIDウイルス』のハッタリ」への補遺)

以前に取り上げたRFIDウイルスの話(「RFIDウイルス」のハッタリ)について、「あの記事を読んで心配しなくて良いことが分かりほっとした」という反応をいくつかのところで頂いた。そういうわけでもないんだけどな、と思いつつも上手く問題意識をまとめられずにいたが、最近になり良い記事を見つけたので紹介がてらコメントしたい。

RFID: At Risk from Viruses? - As part of an information system, even the lowly RFID tag is vulnerable.(MIT Technology Review)

このインタビュー記事の相手はDaniel Engels。オートIDセンターの創設者の一人でありEPCプロトコルの開発を担当した人物だ(現在はODIN Technologies勤務)。

ごくごく短い記事だしわかりやすい表現なので原文を読んでいただきたいのだが、僕が言いたかったことはまさに以下の通り。

It is incumbent upon the information system to authenticate the data and verify that the format and structure of the data are appropriate for the applications using it.

データを有効であると判定し、その書式・構造がアプリケーションでの利用に適切であることを確認するのは、情報システムの責任である。

RFIDウイルスの記事で僕が引っかかったのは、短いバイト数の中に自己複製コードを収められるとするために不自然な仮定を重ね、なおかつ扇情的な取り上げ方をしたからで、RFIDシステムが安全だと思っていたからではない。タグのデータの取り扱いかたがいい加減であれば、システムをハングアップさせるタグやシステム中のデータを破壊・消去するタグは簡単に作れてしまうだろう。

その意味で、RFIDのデータ構造、例えばEPCなどが持つ潜在的な脆弱性(もし存在するのなら)をきちんと評価していく地道な作業が研究者に必要とされているのだと思う。もちろん実務側の人間は既知の脆弱性をアプリケーションに作りこまないようにする必要があるのは言うまでもない。

|

« ニューヨークの非接触決済システム事情 | トップページ | Blinkがやって来たヤァ!ヤァ!ヤァ! »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/163335/10303398

この記事へのトラックバック一覧です: Daniel Engelsへのインタビュー(「『RFIDウイルス』のハッタリ」への補遺):

« ニューヨークの非接触決済システム事情 | トップページ | Blinkがやって来たヤァ!ヤァ!ヤァ! »