« 2013年6月 | トップページ | 2013年9月 »

2013/08/11

RFID World Watcher Monthly June/July 2013

RFID Journal誌の購読者情報登録ミスで数週間ニュースの配信が受けられず、2ヶ月まとめての配信となった。前回に引き続いての不手際で申し訳ない。特集記事はBlackHatでのRFIDアクセス制御カードのハッキングについて。

RFID World Watcher Monthly June/July 2013 (PDF形式、197KB)

| | コメント (0) | トラックバック (0)

2013/08/04

BlackHatでのRFIDアクセス制御カードハッキング報告

先日マイナビニュースに「RFID情報窃盗に注意を - シマンテック」というタイトルの記事が掲載された。マイナビニュースというメジャーなメディアで発表されたためネット上の反応も大きかったのだが、対象となる技術や利用される分野が記載されていなかったため、誤解に基づく懸念(特にFelicaやNFCと混同したもの)が多く見られた。少し整理しておきたい。

要点は2つ、「対象技術は利用する周波数が現在コンシューマーが通常目にする案件とは異なる」「安全とみなされていた技術の脆弱性を発見したのではなく、脆弱な技術を運用でカバーすることが不可能であることを指摘したもの」の2点である。

このマイナビニュースの記事はシマンテックオフィシャルブログの「90cm 離れていても RFID 情報の窃盗が可能に」という記事を参照して書かれている。この記事には、マイナビニュースで省略されていた、

  • 対象となるのはアクセス制御カードシステムであること
  • 利用されている技術は125kHzパッシブであること
  • 今年のBlackHatで詳細が発表されること

などが記載されている。

また、BlackHatでこの報告を行ったFrancis Brown氏へのインタビュー記事も公開されている(eWeek: Hacking RFID Tags Is Easier Than You Think: Black Hat)。

125kHzパッシブタグは比較的古い技術であり、アクセス制御システムの他には工場での生産管理システムなどで多く利用されている。タグ価格がHFタグやUHFタグより高価になることもあり、新規の、特にコンシューマーが関係するような案件には利用されていない。「RFIDは単価の引き下げなどによって今後さらに普及する可能性があり注意が必要」というマイナビニュースの記述は不適切だ。

この記事で取り上げられているRFIDシステムにはセキュリティ認証が用いられていないとのこと。こんなシステムがRFIDアクセス管理システムの80%を占めているというのはちょっと信じがたい話だが、物理的な機材が関係するセキュリティは更新に時間がかかる。クレジットカードで未だに磁気ストライプが利用され続けていることからも分かるだろう。

125kHzパッシブシステムを利用したセキュリティシステムとしてはアメリカのSpeedPassが有名だ。これは1997年にモービルのガソリンスタンドでの支払いシステムとして導入されたもので、こちらは独自の暗号化とチャレンジレスポンスを用いるセキュリティシステムを搭載しているが、脆弱なものであり2005年にクラックされコピーが作成された。現在はセキュリティを確保するため利用時にはユーザが郵便番号を入力するようになっている。

このSpeedPassにあるようにアクセス管理システムは物理的な制約、たとえば読みとり距離がごく短いといった点も含めて総合的なセキュリティを評価されるべき物で、実際に読み取り距離が10cmと想定されていたとう記述がシマンテックの記事にある。だが、125kHzパッシブのシステムは実際にはより長い読み取り距離でも利用されている。たとえば、自動車に乗ったままでカードを読みとるようなシステムでは読み取り距離が45cmになるリーダーが利用されたりする(参考リンク)。それでも90cmという読み取り距離の半分とはいえ、カードをかざした時に確実に読めないといけないか何度も傍受を試みて一度だけ読めればよいのかでは条件は違う。インタビュー記事では、リーダーとアンテナについては市販品を利用したとあり、読み取ったデータを処理するアプリをArduino上で開発したことが発表のメインだったようだ。

RFIDのセキュリティについていろいろな示唆を与えてくれる発表だが(だからこそBlackHatで発表されニュースにもなっているのだが)、何が問題なのかはしっかり押さえた上で怖がるようにしたい。

| | コメント (0) | トラックバック (0)

« 2013年6月 | トップページ | 2013年9月 »