スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

--年--月--日 スポンサー広告 トラックバック:- コメント:-

【IT】本当にFeliCaの暗号は破られたのか

 今おサイフケータイに採用されているICチップFeliCaの暗号が破られたという話題が出ています。この記事を確認してきましたが、結論から言えば非常に怪しい記事で信用するに値しないと思っています。ネット上の評判はよく分かりませんが、ソニーにしてみればこんな記事書かれれば起こって当然の気がします。

 ・<企業スキャン> ソニー激震―― 暗号破られた「電子マネー」(FACTA)

新年号の目玉スクープです。ソニーの「もう一つの致命傷」が明らかになりました。「スイカ」や「エディ」、「iD」など電子マネーの根幹技術である、ソニーの非接触型IC技術「FeliCa(フェリカ)」は、暗号が破られて使い物にならなくなったことが判明しました。

この暗号方式の危うさはFACTAがすでに9月号で指摘しています(「ケータイクレジットに致命的な弱点」参照)。その悪夢が現実のものになったのですが、ソニーも、JR東日本やドコモなどはそれを認めようとしません。しかし、11月7日に第2世代「フェリカ」を発表、密かに入れ替え準備を始めました。

フェリカの販売個数はすでに1億7千万個。しかし共通鍵方式のため、いったん暗号を破られたら、カードも店頭や駅改札口の端末も総とっかえしなければなりません。

リチウム電池の炎上、PS3(プレイステーション3)の出荷遅れ、次世代DVDのもたつき、さらに液晶テレビの値崩れとトラブル続きのソニー。電子マネーでもミソをつけ、その後処理の負担が重なるうえに、その技術とリスク管理に重大な疑問符がつくようだと、いよいよ崖っぷちに立ちかねません。



 ・ケータイクレジットに致命的な弱点(FACTA)

 「決済端末の共通鍵が盗まれたらしい」――2006年X月X日、あるケータイクレジットの会社に舞い込んだ情報に、社長が青ざめた。

 どこで? 全国の加盟店のどこかはわからない。誰が? ハッカーか、偽造団に内通した人間か。どうやって? スキミングか、誰かオッチョコチョイが漏らしたのか……。

 被害は1人にとどまらない。ケータイクレジットにはICを認証する際の鍵情報が記憶されている。この鍵情報は全国の加盟店に置かれている数十万台の決済端末にも記憶されている。漏れたとなったら、カードの利用者全員が悪用のリスクにさらされるから、全端末を一斉更新しなければならない。

 しかしクレジット決済端末はいまだに電話回線に接続している店が多く、更新といっても膨大なコストと時間がかかる。でも「蟻の一穴」を放置して、サービス継続はできない。結局、カード会社はケータイクレジットの決済端末をすべて閉鎖せざるをえなくなる……。

 たった1カ所の鍵情報の漏洩で、決済サービスが即死するのだ。これはSFの悪夢ではない。IC機能つきの携帯電話を端末にピッとかざすだけで、たちどころに決済できる財布要らずのケータイクレジット――いわゆる非接触IC決済サービスに潜在する破局は、いつどこで起きてもおかしくないことなのだ。

接触型ICカードは別方式

 現在、ケータイクレジットのサービスは、NTTドコモと三井住友カードによる「iD」、JCBの「クイックペイ」、UFJニコスによる「スマートプラス」など乱立状態である。これらはみな、携帯電話に組み込まれたソニー製非接触ICチップ「フェリカ」を使用している。

 この先陣を切ったのはドコモで、03年暮れにおサイフケータイのプレビューを始めてからだ。それ以前は、プリペイド式のカードを使うJR東日本の「スイカ」や、電子マネー「Edy」(ビットワレット)などに限られていた。

 しかし、ケータイクレジットは電子マネーではなく、後払い式のクレジット決済。会員により異なるが、通常10万円以上の限度額が設定されている。最大で2万~5万円のエディなどとはケタが違う。しかしわれもわれもとドコモに追随する動きが出てきて、国際規格でもなく、商用化にも耐え得ない「フェリカ」方式が定着してしまったのだ。

 最大のアキレス腱は「フェリカ」の共通鍵暗号方式にある。この方式を簡単に説明すれば「一つの鍵をシステム全体で共有する仕組み」。ケータイクレジットは、鍵情報をすべての加盟店決済端末に格納して共有する。全端末をあけるマスターキーが一つだけあって、それでカード情報が読めると思えばいい。

 もともと「フェリカ」が決済に電子認証の鍵情報を採用したのは、素朴なスキミングを防ぐためだった。重要な情報の読み書きに鍵情報で認証を行う方式だと、鍵情報がない限り肝心なデータが読めず、店の決済端末になりすまして取引を発生させるようなことはできないからだ(ただ、「フェリカ」の識別番号やデータの一部は簡単に読み取れる)。

 しかしそれは「鍵情報の漏洩がありえない」という大前提に立ってのこと。確かに磁気テープ読み取りより情報の不正取得は容易でない。しかしいかに強固なセキュリティシステムも、内部犯や執念深いハッカーから逃れられない。市場に何十万台も端末が置かれれば、どこかで漏洩するリスクが出てくる。

 共通鍵方式の本質的な問題は、一度漏洩があったとされたら、即刻全面停止せざるをえないというシステムの脆弱性にある。ちなみに、クレジットカード会社や銀行が現在、磁気カードからの切り替えを進めているICカード(プラスチックカード)は、接触型EMV方式と呼ばれるもの。セキュリティ対策として「公開鍵暗号方式」を用いており、危険な鍵情報を決済端末で共有する必要がない。「フェリカ」方式と比較して格段に安全なのだ。

 クレジットカードの国際ブランドであるVISAやマスターカードは、致命的な弱点を抱える「フェリカ」を採用していない。一時導入を検討したこともあったが、セキュリティの問題以外にも、公平性、開放性に難があり、日の目を見なかった。

 VISAやマスターカードは、複数のカード会社が決済端末などの設備投資を分担し、相互開放することで成り立っている。クレジットカードは公共性が高く、世界中どこでも利用できる広範な環境整備が求められるためだ。参加企業の利害が偏らないよう慎重に運営されている。

 それに比べると「フェリカ」系は公平だろうか。鍵情報の発行は、ソニーとNTTドコモ、JR東日本が共同出資しているフェリカネットワークス社が一手に引き受けている。KDDIなどの他の通信事業者やカード会社は入りこめない仕組みだ。これは公共性が高いクレジットサービスのあるべき姿ではない。

 相互開放や互換性にも問題がある。現在のiD、クイックペイ、スマートプラスの3種類が互いに競合関係にあって、相容れない状態は深刻である。VISAやマスターカードのようなインフラの共有・開放が後手に回っているのだ。

 薄利の決済ビジネス

 とりわけ問題は、決済端末の共用化を前提としていないことだ。ドコモは当初からiD用端末の共用化には否定的で、対するクイックペイも敵愾心をあらわにしている。このままでは、いずれかの方式がデファクト・スタンダード化するまで、独自展開せざるをえない状況にある。

 加盟店は3種類すべてに対応しようとすれば、3つの決済端末を用意しなければならないのだ。カード会社も互いに加盟店を取り合う状態だ。事業者のエゴもいい加減にすべきではないか。

 それでも、今年後半にはやっとiDとクイックペイが決済端末の共用に踏み切ることになった。ところが、すでに設置済みの個別決済端末の置き換えは難しく、当面は新規設置分に限られる。これではクレジットカード本来の共用環境にはほど遠い。利用者の混乱を招くばかりだ。

 ケータイクレジットの事業性を疑問視する声も多い。日本のクレジットカード市場の規模は30兆円弱で、個人消費の10%に満たない。欧米に比べるとまだまだ低い水準にある。おサイフケータイは、コンビニや自販機などの小額のキャッシュ決済進出を狙ったものだが、決済ビジネスはもともとわずかな手数料が収入源。小額キャッシュの市場はコスト比率が高く、魅力的な市場とは言い難いのも事実なのだ。

 結局、カード会社はケータイをニンジンにして、若年層や新しい加盟店を取り込むのに利用しているに過ぎないのではないか。


 一応オンラインで確認出来るのはこの2つだけなので、もっと核心をついた記事があるのかもしれませんが、2つを読んだ感想を書かせていただきます。

 最初の記事はエッセンスだけなので、問題は2つ目の記事です。これはにFeliCaの暗号が共通鍵方式だという説明と、だから危険だという二段階の論理です。

 これではあまりにも杜撰な記事としか言えません。漠然過ぎてFeliCaの危険性なの説明しているとうレベルではないです。

 そして結論部分も、その暗号の危険性を説明しているのではなく、FeliCaの独占状態を疑問視するという結論で終わっているのです。これでは何が言いたいか分からないし、暗号の危険性を全く説明していません。

 個人的にはソニーにとって迷惑な話だと思いますね。
スポンサーサイト




出来れば二つほどクリックをお願いします。→ FC2 Blog Ranking







2006年12月21日 IT トラックバック:- コメント:2

スラドで検討されてましたが大勢はあまり意味の無いネタ記事と言う方向になっています。

2006年12月23日 ななしさん@俺だよ俺 URL 編集

でも1年以上前にもフェリカが危ないという記事を見たことがあります。

2006年12月23日 worldwalker (・∀・) URL 編集












管理者にだけ公開する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。