ITMediaに「ICチップカードにも脆弱性」という記事が出ています。ICカードはクレジットカードやキャッシュカードについているICチップを搭載したカードのことです。カードの表面に金色の端子が付いていて,それがICチップとの通信を行う端子です。SuicaやEdyなどのプリペイドカードもICカードを使っています。こちらは非接触ICカードといって,カード内のアンテナを通じて電磁誘導による起電力で通信を行っています。
今回は,キャッシュカードやクレジットカードの話題なので,カードの表面に金色の端子が付いている接触型のICカードのことを取り上げています。
ICカードは高いセキュリティを持つカードです。不正アクセスによるカード内のデータの読み出しはできません。また,カード内で暗号/復号する機能を持っているので,通信路を秘密にしたいデータがそのまま流れることもありません。ですので,ICカードを使った取引は,今までの磁気ストライプのカードよりも圧倒的に安全です。
だからと言って,善良な市民からお金を巻き上げようとしている悪い人たちは,手をこまねいて見ているだけではありません。色々と対策を練っているようです。
その対策の一つが,米国で行われたセキュリティのカンファレンスであるBlack Hatで公開されました。
ICチップはセキュリティが高くて攻撃が難しいことはわかっているので,金融取引の中でもっとセキュリティの低いところを攻撃する方法のようです。金融取引の中でセキュリティの低いところとは,「利用者」のことです。
利用者はATMなどの機械を無条件に信じているので,機械が指示したことはそのまま実行してしまいます。悪い人たちはそこを突いてきます。詳細はITMediaの記事を読んでもらうとして,利用者は,「騙されているかもしれない」意識を持っておく必要がありそうです。
通常と違う操作を指示された場合には,その取引を一旦中止したり,別のATMに変えたりする防衛策が必要だとしています。カード裏面に書いてあるセキュリティコードは,オンラインで買い物をする時などに入力しますが,氏名+カード番号+セキュリティコードでオンライン取引が可能になることから,セキュリティコードは秘匿しておく必要がある情報だということを知っておいたほうがいいです。
今回紹介した記事は「ICチップカードにも脆弱性」というタイトルなので,ICチップに新しい脆弱性が発見されたのかと思いドキッとしましたが,脆弱性は人間ですと行った注意喚起の記事だったようです。