非接触型決済は安全か？

スーパーのレジ画面に「お会計は12ドル95セントです」と表示されました。いつものように財布を取り出しPOS端末にかざします。「ピッ」…これで支払い完了です。

非接触型キャッシュカードは、本当に便利です。スワイプしなくてよいし、暗証番号を思い出す必要もなく、書きづらいペンで署名しなくて済む上に、財布を出してレシートの束をかきわけながら現金を取り出さなくてもOK、小銭を取り出すのに四苦八苦することもありません。さっとタッチ、以上、です。

レジ担当者も、非接触型決済を歓迎していることでしょう。決済手順が短縮され、どの小売店でもボトルネックに挙げられていたレジの「処理能力」も向上するからです。

ところで、私たちにとって便利ということは、犯罪者にとってお金を盗むのが簡単になったということにはならないでしょうか。果たして犯罪者は、隠し持ったカードリーダーをあなたのポケットに当てるだけで、あなたの稼いだお金を根こそぎ持っていくことが可能なのでしょうか。

疑問を明らかにするため、私はハッキングカンファレンスの講演資料を大量に読み、何人かの銀行関係者を取材しました。全体的にはかなりポジティブな意見が得られましたが、細かな問題点も判明しました。

距離

非接触型カードは、NFC（RFIDベースの技術の一種）を使います。カードにはチップとアンテナが埋め込まれており、13.56MHzの周波数帯域を使ってPOS端末のリクエストに応答します。Visa payWave、MasterCard PayPass、American Express ExpressPayなど、カード会社はそれぞれ独自の規格を採用しています。とは言うものの、使われている手法やコアテクノロジーは同じものです。

NFCの通信距離は、3㎝以下と短距離です。つまり、防衛の最前線は物理的なのです。リーダーは基本的にカードに近接しなければならないので、気付かれないようにこっそりタッチするのは難しい状況です。

その一方で、長距離通信できるようにリーダーを改造することも可能です。たとえば、サリー大学の研究者は80㎝以内の距離でNFCデータを読み取る小型リーダーを紹介しています。

こうしたデバイスであれば、公共交通機関、ショッピングモール、空港、その他「人口密度の高い」場所で非接触型カードにリクエストを発行できる可能性があります。多くの国で、2人に1人がNFC対応カードを使っています。つまり、犯罪者は人混みでかなりの数の人を餌食にできるというわけです。

さらに言うと、改造スキャナーを使わなくても、また物理的に近接せずともデータを窃取できる可能性があります。そんな「距離の課題を取り除く」洗練された方法を編み出したのが、スペイン人ハッカーのリカルド・ロドリゲス（Ricardo Rodrigues）氏とホセ・ヴィラ（Jose Villa）氏です。両氏は、その方法を「Hack in the Box」カンファレンスで発表しました。

画像出典：『Practical Experiences on NFC Relay Attacks with Android』

最近のスマートフォンの大半には、NFCモジュールが実装されています。そのスマートフォンは、ハンドバッグやポケットなど、財布に近い場所にあることが多いようです。ロドリゲス氏とヴィラ氏は、スマートフォンをNFC中継装置のようなものに変えるスマートフォンをNFC中継装置のようなものに変えるAndroid対応トロイの木馬、というコンセプトを考案しました。

シナリオはこうです。このトロイの木馬に感染したスマートフォンは、非接触型カードの近くに置かれると、決済できる状態になったことをすぐに攻撃者へ知らせます。これを受けて攻撃者は通常のPOS端末を起動し、自分たちの持つNFC対応スマートフォンをPOS端末の側に置きます。これで、距離に関係なくNFCカードとNFC端末をインターネット経由でつなぐ、いわば「橋」が構築されるのです。

このトロイの木馬をばらまくのには、ハッキングされた有料アプリにマルウェアを埋め込むなどの標準的な方法が使われるかもしれません。マルウェアが実行される唯一の前提条件は、スマートフォンがAndroid 4.4以降であることです。ルートにアクセスできなくてもトロイの木馬を実行することは可能なのですが、スクリーンロックがかかっているスマートフォン上で動作させるには同バージョン以降の方が望ましいということです。

暗号化

偽リーダーの通信範囲内に標的のカードを置いても、まだ課題は半分残っています。もう1つ、より本格的な防衛線が張られているからです。それは、暗号化です。

非接触型決済は、EMVチップを埋め込んだ通常のプラスチックカードを守るEMV規格で保護されます。複製についても、磁気ストライプカードは簡単に作れますが、チップではそうはいきません。POS端末からリクエストを受けると、ICはワンタイムキーを作成します。このワンタイムキーを傍受することは可能ですが、次の決済で使いまわすことはできません。

EMVのセキュリティについては、リサーチャーたちが大きな懸念を表明してきました。しかし、EMVカードがハッキングされたという事例は、まだ報告されていません。

非接触型決済は安全か？

Tweet

しかし、1つ問題があります。標準的なEMVカードでは、暗号鍵とユーザーが入力する暗証番号を組み合わせて使用します。非接触型決済の場合、暗証番号は要求されないので、保護手段として使われるのは、カードとPOS端末がそれぞれ生成した暗号鍵のみです。

Reiffeisen Bankのアプリケーションサポート担当ディレクター、アレクサンダー・タラトリン（Alexander Taratorin）氏は、次のように述べています。「理論的には、『ポケット内』のカードからNFCデータを読み取る端末を作成することは可能です。しかし、改造端末は提携銀行と決済システムから暗号鍵を取得して実装する必要があります。暗号鍵が提携銀行から発行されるということは、簡単に詐欺行為を追跡、調査できるということです。」

取引額

防衛線は、もう1つあります。非接触型決済の限度額です。限度額は、決済システムからの推奨額に基づき提携銀行が適切と考える額で、POS端末に設定されています。ロシアの場合、非接触型決済の最大限度額は1,000ルーブルで、アメリカでは25ドル、イギリスでは20ポンド（近々30ポンドに引き上げ予定）です。

取引額がこの限度額を超えると、決済が拒否されるか、カード発行銀行が提供する設定によって異なりますが、暗証番号または署名といった正当性の証明を追加で行う必要があります。少額決済を要求するような攻撃については、また別のセキュリティメカニズムが発動します。

#スキミング や #パスワード 窃盗…クレジットカード情報が狙われています。#クレジットカード 保護の新しいアプローチの研究が進んでいます。#量子理論 http://t.co/Hj4YScXApg pic.twitter.com/Pl2iEk9JDb

— Kaspersky Labs Japan (@kaspersky_japan) February 9, 2015

しかし、これには問題があります。約1年前、ニューキャッスル大学（英国）の研究チームが、Visaの非接触型カードの脆弱性を発表しました。ポンドではなく外貨での決済を選択すると、限度額を無視できるというものです。POS端末がオフラインの場合、決済の最大額は100万ユーロに達します。

ただし、Visaの関係者は、それだけの大金の取引は銀行のセキュリティシステムで弾かれるので、このような攻撃は現実的に実行可能ではない、と否定しています。

Reiffeisen Bankのタラトリン氏は、通貨に関係なく、決済の最大額はPOS端末が制御していると述べています。

別の方法を選択する

では、銀行の決済システムが不正な非接触型決済を防げないという事態は実質的にはあり得ない、という結論なのでしょうか？詐欺師たちが問題の銀行で働いていないなら、「その通り」という回答がふさわしいでしょう。

しかし、気になる調査結果はまだあります。NFCでは、決済自体を乗っ取れなくても、決済カード情報を盗むことは可能なのです。

EMV規格では、チップのメモリ内に一部のデータを暗号化せずに保存することが前提となっています。これらのデータには、カード発行銀行または決済システムのポリシーにもよりますが、カード番号や最後の取引情報などが含まれます。これらのデータは、NFC対応スマートフォンから正規のアプリ（Banking card reader NFCなど）を使って読み取ることができます。実際に可能かどうかは、ご自身で試すこともできます。

最近までは、リスクに晒されている情報はもともと公開されているものであって、カードのセキュリティを破るには不十分と見られてきました。しかし、英国の有名なコンシューマー向けメディア「Which?」が驚くべきことに、この古い神話を打ち砕きました。

Which?のエキスパートは、英国の銀行が発行する非接触型カードをいくつかテストしました。そして、手頃な価格のNFCリーダーと無料ソフトウェアを使った実験の結果、すべてのカードでカード番号と有効期限の日付を解読することに成功したのです。

一見、問題にするほどの話ではないように見えます。というのも、オンラインでショッピングするには、CVV番号が必要なはずだからです。

残念ながら、CVV番号を要求しないオンラインショッピングサイトは、数多くあります。Which?のエキスパートは、大手オンラインショッピングサイトで3,000ポンド相当のテレビの注文に成功しました。

結論

非接触型決済の技術では何重もの保護対策が敷かれているとされていますが、だからといってお金が100％守られるというわけではありません。銀行カードの多くは、磁気ストライプなどの古い技術に基づいており、追加の認証なしでオンラインから決済できてしまう可能性もあります。

セキュリティは、多くの点で金融機関や小売店が使用する設定がどうであるかにかかっています。小売店の場合、迅速なショッピングや「購入に至らず放置されたカート」を減らすために、決済上のセキュリティを犠牲にして大きな儲けを重視することもあります。

先日は #スキミング の #技術 進化を取り上げました。今回は、スキミングが実際どう行われているか、その #手口 を見ていきます。被害に遭わないためのヒントも。#ATM #銀行 http://t.co/HUgBKMfIIe pic.twitter.com/TSCRYhiArT

— Kaspersky Labs Japan (@kaspersky_japan) February 3, 2015

だからこそ、非接触型決済の場合でもセキュリティの基本的な推奨事項は有効です。他人に暗証番号またはカード情報をのぞき見されないようにする、カードを見せびらかさない、スマートフォンにダウンロードするアプリには注意を払う、アンチウイルス製品をインストールするなどの対策をとりましょう。

絶対誰からもNFCカードを読み取れないようにしたい場合は、電磁遮蔽性のある財布を購入しましょう。誰も物理の法則を曲げることはできませんから。