クレカマニアだからICチップの脆弱性について語るか

友だち追加 
Pocket
LINEで送る

credit_card_ic_chip_attac

クレジットカードのセキュリティといえばICチップですね。VISA/MASTER/JCBでは以前から導入が進んでいます。最近ではアメリカン・エキスプレスのカードにICチップ搭載が始まりました。

「ICチップが付いているから安心」は、本当に安心なんでしょうか?ITプロフェッショナルでクレジットカードマニアな私がクレジットカードICチップの安全性と脆弱性について解説します。




ICチップの仕組みとは

「ICチップは暗証番号で決済できる」でお馴染みになっている方も多いかと思います。簡単に言うと、チップに内蔵されている暗号化された情報とPIN(暗証番号)が一致したらオーソリ(承認)OKとなり、サインレスで決済することが出来るのです

セキュア通信の構造はHTTPSに似ている

ICチップを使った情報のやり取りはインターネットを利用される方なら多分ご存知、「HTTPS (SSL/TLS)」と基本的な構造が同じです。クレカICチップがどれくらい安全かというと、このHTTPSと同じくらいと思っていただいて問題ありません。HTTPSはオンラインバンク、証券システム、ECサイトから行政システムまでありとあらゆるセキュアな通信に用いられています。そのくらいICチップの安全性は高い事を意味しています

ICチップに脆弱性が見つかった

「あー、その手があったか!」と言わざるおえない事件が発生しました。

クレジットカードのICチップセキュリティを突破した驚愕の手法とは? – GIGAZINE

分かりやすく言うと、「クレカICチップの上に偽データを送信する別のチップを被せる」手法です

このICチップのセキュリティを突破する「中間者攻撃」という手法は、HTTPSにも転用が出来る手口です。HTTPSの脆弱性はもっとネットワーク寄りな攻撃で突くことが出来るんですが、このクレカICチップの脆弱性はもっと物理的なセキュリティホールでした。セキュリティホールといってもICチップが物理的な接触点である以上、これは防ぎようがない問題ですね。

別のセキュリティ対策を考えたほうが良さそう

流石に自分のクレジットカードのICチップに見知らぬチップが付いていたら不審に思うでしょう。でも、これが紛失したカードだったら?アタッカーはICチップの内容を丸コピーし更にそれを複製した上で、偽の情報を出力する偽ICチップを使って、いくらでも不正利用が出来てしまします。

現在のクレジットカード各会社の利用規約では、PINを使った不正利用が発生した場合、会員側にも厳しい目でチェックが入ります。だって本来は、PINって会員しか知り得ない情報ですからね。しかしこれは今までは、の話です。今後も新しい攻撃方法が考案され、このままでは会員を守りきれなくなるかも知れません。クレジットカード会社は今までにない、全く新しい手段で会員や加盟店の安全性を高める必要があります

それでも一番気をつけるべき点とは

ICチップやPINで一番気をつけるべき点であり、最も大きなセキュリティホールとは「PINコードを盗まれる」事です。PINはわずか4桁の暗証番号です。生年月日や車のナンバー、電話番号などの連想されやすい暗証番号の使用は避けましょう。また決済時、後ろの人に十分注意してください。PINは盗み見されたら終わりのシステムなのです。どんなに攻撃用テクノロジーが進歩しても、こういったアナログで単純な攻撃方法が一番効果的だったりするんです。クレジットカードのセキュリティは、銀行の暗証番号くらい大切なモノと考えましょう。

 

 


関連記事




友だち追加
 ・公式LINEアカウント有り(クリックで友だち追加!)
 ・ブログを実名化しました!→書いてる人間が誰なのか見てみる
 ・ステータスマッチ最新情報「ステータスマッチ.jp!」


© プラチナ・カード・ライフスタイル (https://platinum.blogs.jp.net)

にほんブログ村 その他生活ブログ クレジットカードへ

 

You may also like...

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です