« はてなブックマーク「投げ銭予約」のアイデアまとめ − 金本位制のメタファより | トップページ | 海洋堂 ダイナミックロボットミュージアム ゲッター3 »

2006年4月11日 (火)

ICカードの迷信をバカにできるほど端末管理できてる?

「偽造カードが作られる」のは迷信に近いのかもしれませんが、「スキミング」による電子スリについては、サーバーに接続などして正規のチャレンジができるクライアントを持ち歩ければ理論的には可能だと思います。

>
>
...接触型カードにかざせば、たちまちデータを読まれ(3秒ほどでOK)、偽造カードを作られてしまう恐れがある。


て典型的な迷信のひとつですね...ICカードとリーダーのやり取りはチャレンジ・レスポンス方式で暗号化されてますので、スキミングされても平気です(もちろん、暗号化のキー長が短ければリスクなしとは言いませんが)。データを読まれてもなりすましは不可能ということです。...


電子スリが起こらないようにするには、端末の管理をしっかりしなければなりません。

ただ、管理をしっかりするとしても、「端末が今どこにあるか」「ちゃんとした回線経路を辿ったか」がわからないと究極的には封じられないのではないでしょうか?後者はまだしも、前者はカード側に地点を確かめる機能がない以上、複数端末の連携による地点の偽装に対抗するのは困難なため、理論上の懸念(迷信?)は残ると思います。

とはいえ、今でも、デビットカードやプリペイドカードで同様のこと(正規に接続できる端末を用いたアタック)が起きても良いのに、そういう事件の報道がないということは、犯罪が割にあわないなど、実用的には十分な管理がなされているのでしょう。
更新: 2006-04-11
初公開: 2006年04月11日 21:03:15
最新版: 2006年04月11日 22:13:21

2006-04-11 21:03:11 (JST) in 情報工学・コンピュータ科学, 時事 | | コメント (5) | トラックバック (4)

情報工学・コンピュータ科学」カテゴリ内の最近の記事

時事」カテゴリ内の最近の記事

批評や挨拶のためのネットコミュニティ

  • はてなブックマーク(って何?) このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク
  • Twitter (って何?)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/93568/9539320

トラックバックのポリシー

他サイトなどからこの記事に自薦された関連記事(トラックバック)の一覧です。
» JRF の私見:雑記:ICカードの迷信をバカにできるほど端末管理できてる? (この記事)

» ゴルフ場での「スキミング」は氷山の一角 from グレーゾーンの民間交渉人

ゴルフ場での「スキミング」は氷山の一角。貴方の極近くにある恐怖という題名で、新たに記事をアップしましたので、興味のある方は、是非、お読み下さい。 続きを読む

受信: 2006-04-12 19:23:13 (JST)

» 別サイト記事再録 − 「日銀カード(仮称)」構想 from JRF の私見:税・経済・法

自分なりの金融システムに関する勉強のまとめや、支払い専用匿名口座の提案を 2001 年ごろに書き、それを 2002 年の 3 月 1 日から本名で公開していました。ただ、どこともリンクしておらず、Google の検索にもひっかからなかったはずなので、誰も読んだことはないと思います。下の PDF になります。(索引が文字化けしてます。すいません。) 「日銀カード(仮称)」構想。 こんなタイトルです... 続きを読む

受信: 2006-09-11 15:19:35 (JST)

» カード・TSUTAYA Wカード from あなたにぴつたりなカード・ローン各種

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ =================================================================== レンタルがお得!更新手続き不要!ポイントがたくさん貯まる!Tカード ===========================================================...... 続きを読む

受信: 2007-04-13 16:33:20 (JST)

» TSUTAYA Wカードでレンタル料金10%OFF!! from クレジットカードインフォ☆厳選クレジット情報

更新手続き不要!ポイントが貯まる! Tカード TSUTAYA Wカード クレジットカードの年会費は永年無料!! 海外でも安心! 盗難の保証もついてる海外旅行傷害保険付き!! TSUTAYAファンに超便利!!レンタル料金10%OFF TSUTAYAでDVDやビデオ、CDをレンタルするならカード払いがオススメ TSUTAYA Wカードなら毎回、現金払いとカード払いが選べま...... 続きを読む

受信: 2007-07-29 00:39:31 (JST)

コメント

トラックバックのは、迷信バリバリですが…

投稿: y-Aki | 2006-04-13 21:37:41 (JST)

うーん、いろいろサイト見ましたが、ITmedia のコメント等を見ると「迷信」は百年かかっても解けそうにないですね。

かりに安全性が証明されても、しばらくは非接蝕型にできるものも接蝕型のフリをさせたほうが普及させやすいのかもしれません。

カードの端のスイッチをぶつけない限り「非接蝕型」の通信をはじめないとか。

投稿: JRF | 2006-04-14 18:33:20 (JST)

それこそ磁気ストライプに「暗証番号」を記録して、それがないと「非接蝕型」の通信をはじめない(もちろん、暗号解読のキーとしては使わない)とか。

投稿: JRF | 2006-04-14 18:38:49 (JST)

つーか磁気ストライプいらんな。暗証番号の絵を読むので十分だわ。その方がスキマーがないとできないとかいう誤解がなく、バーコードとかにしとけば、迷信もいい方向に作用するでしょう。

投稿: JRF | 2006-04-14 18:48:14 (JST)

手元のカードをコストをかけてタンパリングすれば偽造はできるわけだし。バーコードを長々と見られちゃダメって迷信があれば、人に預けるようなこともしないだろうし。長時間カードをどこかに預けても「偽造されない」って迷信よりは安全だから。

投稿: JRF | 2006-04-15 00:26:26 (JST)

コメントを書く



(メールアドレス形式)


※匿名投稿を許可しています。ゆるめのコメント管理のポリシーを持っています。この記事にまったく関係のないコメントはこのリンク先で受け付けています。
※暗号化パスワードを設定すれば、後に「削除」、すなわち JavaScript で非表示に設定できます。暗号解読者を気にしないならメールアドレスでもかまいません。この設定は平文のメールで管理者に届きます。
※コメントを書くために<b>ボールド</b>、<pre>詩文やソースコード</pre>、<a href="">リンク</a>、その他のHTMLタグが使えます。また、漢字[かんじ]でルビが、[google: キーワード] で検索指定が使えます。


ランダムことわざ: 猿も木から落ちる。

今日のネットの話題: アジアがすごいぜ。英語やろうぜ。