量子理論を応用したプラスチック：クレジットカードの未来を予測

先日の『カードの不正利用：ATMを狙った犯罪ビジネスの今』という記事では、カード詐欺師の巧妙な仕掛けによっていかに簡単にお金が奪われるのかを紹介しました。詐欺による被害が今でも絶えないのは、カードのセキュリティ手段が、1970年代から変わっていない初歩的なものだからです。磁気テープ上のデータは「平文」で保存されますし、銀行口座を守る唯一の砦である暗証番号は、短いセキュリティコードなので犯罪者に簡単に推測されてしまいます。 

さまざまなタイプの詐欺師によって、信じられないほどの大金が奪われています。言うまでもなく、金融業界はより高度なセキュリティ技術を導入するべく、全力で取り組んでいます。

中でも大きな成果をあげているのが、ICチップ対応カード（EMVカード）技術です。ヨーロッパとカナダで広く導入された結果、これら地域のカード不正コピー事件は劇的に減少しました。スキミング詐欺師は新天地を求め、EMVカードがまだあまり普及していない米国とアジアへ向かいました。

しかし、どんなにEMVシステムが最先端のカード保護技術であっても、理想的とは言い難く、考えられるすべての脅威から守ってくれるわけではありません。スキミング技術も進化を続けています。それに、もしかすると近い将来、新しいタイプのカードが登場するかもしれません。

いったいそれはどんなカードでしょうか？それでは見ていきましょう。

パスワードと2段階認証

カード保護の問題ですぐに思い付く対策は、セキュリティ層の追加です。インターネットのさまざまなサービスで採用されている2段階認証も、そんな多層防御の1つです。

オンライン決済のとき、カード所有者はカードの裏側にあるセキュリティコード（CVV2）以外に、ランダムに生成されたワンタイムパスワードを入力します。ワンタイムパスワードには、携帯電話宛にSMSで通知されるもの、銀行指定のハードウェアトークンを使って生成されるものなどがあります。2段階認証は、大金を伴う場合であれば、オフラインの取引でも利用されます。

ディスプレイ内蔵の銀行カードでも、同様の認証方法が採用されています。この場合は、通常のクレジットカードに小型コンピューターが埋め込まれていて、液晶ディスプレイとデジタルキーボードも付いています。ワンタイムパスワードを生成できるだけでなく、残高や取引履歴などの表示も可能です。

ディスプレイ内蔵カードは5年以上前から市場に出ていますが、顧客に提供されているのはヨーロッパ、米国、アジア先進国のごく一部の銀行のみです。

カードオンデマンド

一風変わったソリューションを提供しているのは、米国企業のDynamicsです。カードの磁気データは内蔵のハードウェアによってオンデマンドで動的に生成されます。利用開始するときは、埋め込みキーボードからパスワードを入力する必要があります。

パスワードを入力しないと磁気データは生成されず、取引は行われません。また、このカードには、16桁のカード番号がフル記載されていません。カードに記載されていない部分の番号は、カード所有者がパスワードを入力して初めてディスプレイに表示されます。

指紋認証

パスワードは、カードを保護するための強力な手段ではありますが、うっかり漏らしてしまえば意味がありません。カードに暗証番号をメモしていて、そのカードを紛失したという話もよく聞きます。

こうした問題を抜本的に解決するのが、生体認証です。ノルウェーに本社を置くZwipeは現在、MasterCardと連携して指紋スキャナー搭載のクレジットカードの試験運用を行っています。接触プレートに指を置くだけで、取引が許可されます。これで暗証番号ともお別れですね。

頼みの綱は量子理論？

量子コンピューターは何十年にも渡って研究されていますが、未だ実運用に至りません。しかし、希望はあります。量子技術の機能を使えば、なりすまし不可能なIDを作ることができるのです。

オランダのトゥウェンテ大学とアイントホーフェン工科大学の研究者は、クレジットカードや個人のID用セキュリティシステムに、量子理論を応用しようとしています。現時点では研究室内で試験運用という段階ですが、量子理論に基づくセキュリティシステムは「Quantum Secure Authentication：QSA）」（量子安全認証）という名称で開発が進んでいます。

まず、通常のプラスチックカードのごく小さな一部分を、酸化亜鉛（非磁性体。亜鉛白とも呼ばれる）の極薄層で覆い、そこへレーザーから放出された光子を衝突させます。光子がナノ粒子に当たると、光子は酸化亜鉛層の中でランダムに反射します。このプロセスにより、粒子層の光学特性が変化し、一意のキーが生成されます。

連続するレーザー衝撃による信号をカードに送ると（「質問」）、特定の反射パターン（「回答」）が返ってきます。一意の「質問と回答」の組み合わせは、銀行のデータシステム内に保管され、キーの認証に利用されます。

仮に誰かが取引時に交わされる質問と回答の組み合わせを盗もうとしても、うまくいきません。別の光電検出器をシステムに差し込むと、光子の量子状態が少なくとも部分的に破壊されるため、犯罪者の攻撃はすべて無に帰すのです。

このセキュリティシステムをハッキングする方法としてもう1つ考えられるのは、カード偽装です。しかし、正確なコピーを作るには、ナノ粒子の大きさ、位置、その他の属性を正確に写し取る必要があります。非常に複雑な作業のため、実際には実現不可能です。

QSA開発者は、複雑な理論に見えるかもしれないが、既存の技術や手法を用いることで比較的シンプルかつ低コストで導入できる、と主張しています。

急務な対策ほど「急がば回れ」

前述したセキュリティシステムを銀行がすぐに採用することはなさそうです。金融業界はかなり保守的ですし、この新技術を大規模導入するにはコストがかかります。

以上を考慮すると、革新的な決済方法は、まず非銀行系のサービスで実現されるのではないでしょうか。たとえばApple PayやGoogle Walletのような新決済システム、もしくはCoin、Wocket、Plastcなどの未知の有望株（今後ご紹介の予定）です。

先日は #スキミング の #技術 進化を取り上げました。今回は、スキミングが実際どう行われているか、その #手口 を見ていきます。被害に遭わないためのヒントも。#ATM #銀行 http://t.co/HUgBKMfIIe pic.twitter.com/TSCRYhiArT

— Kaspersky Labs Japan (@kaspersky_japan) February 3, 2015

このほかに重要なのは、このような高度な新技術が、導入プロセスの欠点によって損なわれる事態を避けることです。EMVカードでは、こうしたことが何度も起きています。この点から考えられる一番大きなセキュリティ上の問題は、保護されたICチップからATM端末がデータを読み取れない場合に、下位互換用に残されていた磁気テープを読み取ろうとすることです。そうなれば、すべての努力は水の泡と化すでしょう。