種別[column] cocolog:11076503
セクションJRF の私見:雑記
日時2006年04月11日 21:03:11
元URLhttp://jrf.cocolog-nifty.com/column/2006/04/post_8.html
タグ[時事] [情報工学・コンピュータ科学]

ICカードの迷信をバカにできるほど端末管理できてる?

《ITmedia 栗原潔のテクノロジー時評Ver2:ICカードの迷信キター》を読みました。

「偽造カードが作られる」のは迷信に近いのかもしれませんが、「スキミング」による電子スリについては、サーバーに接続などして正規のチャレンジができるクライアントを持ち歩ければ理論的には可能だと思います。

  >
    >
    <indent val="3"/>...接触型カードにかざせば、たちまちデータを読まれ(3秒ほどでOK)、偽造カードを作られてしまう恐れがある。
    <
    
    て典型的な迷信のひとつですね...ICカードとリーダーのやり取りはチャレンジ・レスポンス方式で暗号化されてますので、スキミングされても平気です(もちろん、暗号化のキー長が短ければリスクなしとは言いませんが)。データを読まれてもなりすましは不可能ということです。...
  <
  
電子スリが起こらないようにするには、端末の管理をしっかりしなければなりません。

ただ、管理をしっかりするとしても、「端末が今どこにあるか」「ちゃんとした回線経路を辿ったか」がわからないと究極的には封じられないのではないでしょうか?後者はまだしも、前者はカード側に地点を確かめる機能がない以上、複数端末の連携による地点の偽装に対抗するのは困難なため、理論上の懸念(迷信?)は残ると思います。

とはいえ、今でも、デビットカードやプリペイドカードで同様のこと(正規に接続できる端末を用いたアタック)が起きても良いのに、そういう事件の報道がないということは、犯罪が割にあわないなど、実用的には十分な管理がなされているのでしょう。

更新:2006-04-11
初公開:2006年04月11日 21:03:15
最新版:2006年04月11日 22:13:21
Trackbacks:

《ゴルフ場での「スキミング」は氷山の一角》 from グレーゾーンの民間交渉人
ゴルフ場での「スキミング」は氷山の一角。貴方の極近くにある恐怖という題名で、新たに記事をアップしましたので、興味のある方は、是非、お読み下さい。 

受信: 2006-04-12 19:23:13 (JST)


《別サイト記事再録 − 「日銀カード(仮称)」構想》 from JRF の私見:税・経済・法
 自分なりの金融システムに関する勉強のまとめや、支払い専用匿名口座の提案を 2001 年ごろに書き、それを 2002 年の 3 月 1 日から本名で公開していました。ただ、どこともリンクしておらず、Google の検索にもひっかからなかったはずなので、誰も読んだことはないと思います。下の PDF になります。(索引が文字化けしてます。すいません。) 「日銀カード(仮称)」構想。 こんなタイトルです... 

受信: 2006-09-11 15:19:35 (JST)


《カード・TSUTAYA Wカード》 from あなたにぴつたりなカード・ローン各種

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
===================================================================
レンタルがお得!更新手続き不要!ポイントがたくさん貯まる!Tカード
===========================================================...... 

受信: 2007-04-13 16:33:20 (JST)


《TSUTAYA Wカードでレンタル料金10%OFF!!》 from クレジットカードインフォ☆厳選クレジット情報
更新手続き不要!ポイントが貯まる! Tカード
TSUTAYA Wカード

クレジットカードの年会費は永年無料!!

海外でも安心!
盗難の保証もついてる海外旅行傷害保険付き!!

TSUTAYAファンに超便利!!レンタル料金10%OFF
TSUTAYAでDVDやビデオ、CDをレンタルするならカード払いがオススメ

TSUTAYA Wカードなら毎回、現金払いとカード払いが選べま...... 

受信: 2007-07-29 00:39:31 (JST)


Comments:

トラックバックのは、迷信バリバリですが…

投稿: y-Aki | 2006-04-13 21:37:41 (JST)

うーん、いろいろサイト見ましたが、ITmedia のコメント等を見ると「迷信」は百年かかっても解けそうにないですね。

かりに安全性が証明されても、しばらくは非接蝕型にできるものも接蝕型のフリをさせたほうが普及させやすいのかもしれません。

カードの端のスイッチをぶつけない限り「非接蝕型」の通信をはじめないとか。
投稿: JRF | 2006-04-14 18:33:20 (JST)

それこそ磁気ストライプに「暗証番号」を記録して、それがないと「非接蝕型」の通信をはじめない(もちろん、暗号解読のキーとしては使わない)とか。
投稿: JRF | 2006-04-14 18:38:49 (JST)

つーか磁気ストライプいらんな。暗証番号の絵を読むので十分だわ。その方がスキマーがないとできないとかいう誤解がなく、バーコードとかにしとけば、迷信もいい方向に作用するでしょう。
投稿: JRF | 2006-04-14 18:48:14 (JST)

手元のカードをコストをかけてタンパリングすれば偽造はできるわけだし。バーコードを長々と見られちゃダメって迷信があれば、人に預けるようなこともしないだろうし。長時間カードをどこかに預けても「偽造されない」って迷信よりは安全だから。
投稿: JRF | 2006-04-15 00:26:26 (JST)




Links:

ITmedia 栗原潔のテクノロジー時評Ver2:ICカードの迷信キター: http://blogs.itmedia.co.jp/kurikiyo/2006/04/ic_789f.html (hbm)

後方参照 (2 件)