ICカードの迷信キター

blogを拝見して、ちょっとググったらICカード用のスキミング対策カードケースみたいなものが数多くヒットしてきました。暗号化はともかく、スキミングそのものを防ぐという動きはあるようです。1つ1000円くらい。

Suica等の入退履歴等は生データのままで読まれてしまうこともあるようです。なので、気になる人はスキミング対策してもよいかもしれません。マイナスイオン商品みたいなもの（害はないし気休めにはなる）ではないでしょうか？

暗号の仕掛けは安全でもインプリに穴があったらどうかなという気はしますけど、どうなんでしょ。どこそこのカードには脆弱性があるなんていうことになっても、大騒ぎになるからカード会社は隠匿しそうだし。
とはいえ、尻ポケットのカードをスキミングするとは、相当アヤシイ行動をしないと無理そう。

データの読み取れるのならば、暗号さえ破れれば偽造可能なわけですから、「不可能」と言い切るよりは「恐れがある」と表現したほうがまだ適切だと思います。

どうも上の文章は「暗号化されていれば、解読は不可能だ」という論理の上に成り立っているように思えますが、それは大変危険な考え方ではないでしょうか。

栗原潔さんの記事にに突っ込むのも何なんですが、
高木浩光さんが日ごろこの手の話を話題にしているのは、
「コードそのもの」が読まれることです。
暗号化うんぬんは関係ありません。
不特定な場所で、不特定な人に一意のコードが読み取られること自体が問題なのです。
読み取ったデータの内容が解読されることが問題ではないのです。
複数の場所で、読み取られたデータが名寄せされたとたん、その人の行動が世間にもしくは特定な人にわかってしまうのです。
簡単に言えば、ある日、駅の南口改札で読み取られたそのカードの特定なコードと、XX科の駅前病院の入り口で読み取られた特定なコードがインターネット上で名寄せされるとします。
そして翌日、保険のおばちゃんの前で、私はこの保険に入るにあたって病気を一切していません、という誓約書を書いているとき、コードを読み取り、名寄せのデータを検索してあらあら昨日病院にいかれたんではないですか。。。

暗号について理解していない人がおられるようですね。
暗号化されたデータをいくら読まれても、別の場所で使った人と同じだなんて判別できないと思います。
その暗号が解読される可能性もほとんどありません。

Suicaの出入場記録も知られたくないという人もいるかと思いますが、そんなの知るために尻スキミングする人なんかいませんよ。何の役にも立ちませんから。

>>ジャムのパパさん
高木さんのその辺の主張は知っていますが、今回の話とはあまり関係がないのでは？
私は、元記事にある「無線でスキミングすればICカードが偽造できる」という点が迷信だと言っているので、できればこのポイントに絞った議論をお願いします。

チャレンジ・レスポンス方式は認証サーバが前提で構成されている
と思われます。(ICカードが固有鍵を持つ場合、その検証のために
対応する鍵データベースを参照する必要があるため)

よって、EDYのようにオフラインで利用できるICカードは「共通鍵」
（もしくはチャレンジ＆レスポンスでない？）と思われますので、
リーダライタを盗んで非接触型スキマーに改造すれば
金額を増減できそうな気がしますが、いかがでしょう。

また、チャレンジ＆レスポンスは、サーバからICカードの認証を行う
仕組みであり、騙りサーバ（スキマー）がチャレンジを送り、
ICカードが何を返してきても「認証されました！」と手続きを進めれば、
ICカード上のデータの書き換えを行えると思えるのですが、
いかがでしょうか（SUICAの度数を増やせる？）。

記事が正確でないのはその通りですが、チャレンジ・レスポンス方式
であっても、スキマーによりICカード上のデータを書き換えられる
可能性はあると思われます。

>>キソさん
もしそれが可能であるならば、満員電車で他人のカードを無線でスキミングすることなどしなくても自分で買ったSuicaカードを自分でチャージできることになってしまいます。これは誰でも思いつく話ですので、当然対策は取られているでしょう。サーバの認証もしているもの思われます。具体的方法はちょっと今調べている時間がありません。詳しい方いらっしゃたら教えてください。

キソさん、なんで憶測だけで言いたい放題いうんですかね。
少しは調べてみれば?

キソさんの言いたいことはよくわかる。
とりあえず、「チャレンジ＆レスポンスだから暗号化が破られることは絶対にない」って言い切れる自信がどこからくるのかと。(間違ってたらゴメンナサイね)
例えば圧倒的に全てを見透かせる人間がいたとして、自分が適当に質問したことに対して思い浮かべた答えを完璧に答えられたら、質問自体が無意味ってことです。
実際、コンピュータ上の暗号の復号はもっとずっと複雑で、ほぼ不可能と言っても間違いではないと思いますけど、可能性がゼロとは言い切れないと思います。
＞＞栗原潔さん
＞自分で買ったSuicaカードを自分でチャージできることになってしまいます。これは誰でも思いつく話ですので、当然対策は取られているでしょう。サーバの認証もしているもの思われます。
サーバがインターネット上に存在するとした場合ですが、
そのサーバと全く同等の動作をするサーバが別ネットワークに存在するとしたら？
DNS(またはルータなど)がクラックされていて、正引きの結果が別ネットワークのサーバになっていたら？
その場合は認証も実行されて操作も自在に出来てしまうことが正しい動作になるはずです。
「サーバの認証」だけにこだわるのは良くないと思いますよ。

「チャレンジ＆レスポンスだから暗号化が破られることは絶対にない」とは言ってませんので念のため。「チャレンジ＆レスポンスだから満員電車の中で他人のカードをスキミングしてカードを偽造されることはない」と言っているのです。根拠は、通信路を生パスワード、生データが流れることがなく、また、チャレンジは毎回生成されるので、リプレイをしてもなりすましはできないからです。100%絶対にないかと言われると、たとえば実装にミスがあれば脆弱性は生じますので、100%とは言いませんが、現実的に見てリスクがあるとは思えません。
サーバ認証に話を移すと、サーバのなりすましのためには暗号キーが必要です。Suicaは共通鍵暗号方式のようなので、Suicaカードをハックして暗号化キーを読み出すか、Suicaのセンターをハックして暗号キーを盗めば、原理的にはサーバのなりすましが可能です。ただ、もし本当にそれが行われてしまえば、自分で買ったカードにチャージできてしまえますので、スキミングうんぬんの話ではなくなってしまいます。
ICカードをハックして中身を読み出す事例はいくつかあるようです（参照： http://ja.wikipedia.org/wiki/IC%E3%82%AB%E3%83%BC%E3%83%89 ）。

大丈夫だとばかり言っているのも何なので、私が知る限りのICカード系のセキュリティリスクを書いておきます。
１．カード本体のハック（タンパリング）（DPA攻撃等）
２．認証サーバのハック
３．暗号化されていないデータの傍受（SUICAの場合は乗降情報）
４．暗号化がない無線タグのICカード的な流用
５．暗号強度が低く、カード本体が盗まれた場合に専用ハードウェアで暗号化を破られるリスクあり（参照： http://rfidanalysis.org/ ）
ということで、ICカードのセキュリティに全くリスクがないというわけではありません。

流れをぶった切る形になりますが。
　日刊ゲンダイの記事見てみましたが、私はあくまで「可能性としての問題提起」であって、非接触型のカード＝偽造されるから危ないという論点では言っていないと感じました。
　絶対に破られない暗号というのはまだ存在していないし、スキマーは可能性があるならそこを突いてくるでしょう。こういう世界はいたちごっこですから、非接触のスキミングからカードを偽造されるのがまったくもって不可能とは言えないのが実情だと思います。
　利用者もそういう可能性があることを知っていなければ・・・大丈夫とタカをくくっていては、玄関に鍵をかけて、目の前に鍵を置いているような状況にもなりかねない訳で。
「今はまだ大丈夫かもしれないし、暗号を解かれる可能性は極めて低いのかも知れないけど、可能性がある限りは暗号に頼ってるばかりじゃなくて、自衛する事、個人がそういう可能性を頭に置いておく事も必要だよね」っていう事ではないでしょうか。
そういう訳で私は「ICカードの迷信が云々」というのはなんか揚げ足取りだなぁと感じたのでした。

栗原潔さんは、盲目的なＩＣカードバッシングをバッシングしたいんだなと読みました。
ですが、タイトルのふざけた感じも相まって「ＩＣカードは安全なんだよバーカ」と読んでしまう人が続出しております。

目を引く見出しで注目を浴びておいて、
コメントでごめんなさいですか・・・ｗｗｗ

えーどこをどう読むとそういうことになるのでしょうか？(^_^;)
何回も言いますが本文での私の主張は「遠隔スキミングで非接触ICカードが偽造されるというのは迷信」ということであり、それはまったく訂正してないですよ。
コメントの流れが「ICカードに脆弱性はないのか？」という方向性にずれてきたので、論点を整理しているだけですよ。

＞栗原さん
丁寧なコメント有難うございます。

「遠隔スキミングで非接触ICカードが偽造されるというのは迷信」
ということは、もちろん私も同意です。
ただ、「チャレンジ・レスポンス方式で暗号化しているので平気」
というのはどうか、と思っただけです。

EDYのようにオフラインで動作するICカードの場合、コンビニや
タクシーのリーダ・ライタ端末(共通鍵内蔵)を盗んでスキマーに改造すれば
その時点で「チャレンジ・レスポンス方式」による認証の意味がなくなるのでは、
ということですね。

ところで、Felicaって、サーバ認証するんでしたっけ？
以前、聞いた時点では、通信手順自体が非公開であるため、
それをサーバ側が知っているということで、サーバ認証の代替としていたような。
両側で暗号化や検証を行っていて、あんなに短時間で処理できているならスゴイですが。

>>ねこまっしぐらさん
私には、ゲンダイ記事は「可能性としての問題提起」をしているようには思えませんでした。
ICカードの仕組みを理解していなくて、通常の磁気カードのようにデータを読み出して別のカードに書き込めば偽造ができると誤解しているのか、または、話をおもしろおかしくするためにオーバーに書いているかのどっちかだと思います。
そもそも、「恐れがある」という書き方が乱暴です。「雨の日に傘を差すと落雷を受ける恐れがある」とか「電柱の下に立つとトランスが落ちてきて当たる恐れがある」とか言っているようなもので、（市街地で）傘に落雷することが絶対ないかというとそうは言えないにしろ「恐れがある」と書いてしまうのはまずいと思います。

>>キソさん
サーバ認証はチャージの時しかしてないかもしれないですね。Edyも同様ではと推定します。
リーダー・ライターを盗んでもチャージができるわけではない（金を増やせるわけではない）ので、実質的な被害はないということではないでしょうか？（もちろん、実装にバグがあってICカードに対するバッファーオーバーフロー攻撃等が可能であれば話は別ですが）。
それから、「チャレンジ・レスポンス方式で暗号化しているので平気」の「平気」とは「偽装されるリスクがない（無視できるほど小さい）」という意味で使っており、「セキュリティ脆弱性がない」というつもりではないですよ。

>リーダー・ライターを盗んでもチャージができるわけではない

お金が減らせるかも（笑）
混んだ電車に乗ったあと、尻ポケットの財布の中の電子マネーがスッカラカンになってたらヤダなあ。

一種のDoS攻撃ですね＾＾;

あ、追加されてる・・・

>それから、「チャレンジ・レスポンス方式で暗号化しているので平気」の「平気」とは
>「偽装されるリスクがない（無視できるほど小さい）」という意味で使っており、
>「セキュリティ脆弱性がない」というつもりではないですよ。

いや、単に「（リーダ･ライタを盗まれて）スキマーを作られた時点で、もうオシマイ」
と言いたかっただけです。
(「チャレンジ・レスポンス方式」による認証も意味を成さない)

「盗んだリーダー・ライターを改造して人々のEdyの残高をゼロにしまくる愉快犯」、本当に成立するのでしょうか？
この辺の情報ネット上には全然ないです。"security by obscurity"はあんまり良くないと思うのですが。

まあ、一文の特にもならないのに、せっせとウィルス開発している人たちもいますからねえ。

いずれにしても、元発言の意図は、
・タイプBのような非対称暗号鍵(固有鍵)方式のICカードであれば、
認証サーバが前提になるので、そもそもスキマーの開発は無理、
・EDYのようなオフライン利用可能な共通鍵方式のICカードの場合は、
リーダ・ライタ端末(共通鍵内蔵)を盗んでスキマーに改造されたらオシマイ、
なので、どっちにしろ、「チャレンジ＆レスポンス」はあまり関係ないのではないか、ということです。

なんか話題に遅れている感じですが、記事については、暗号化されていない無線タグと暗号化されているICカードの区別がついていないだけのような気がします。それとも、以前は磁気カードでも偽造されることはなかったが、技術が進歩して偽造被害が出てきた。だからどんなシステムでも技術が進歩すれば同様なことが起こる。そんな素朴な考えから記事を書いているように感じます。つまり栗原さんの記事への批判は当たっていると思います。

アルゴリズムが公開されていない暗号で、DVDのように広く使われているものは、必ず破られていると聞いたことがあります。これは公開して多くの人が検証したアルゴリズムでないと穴がみつかるということだと思います。ICカードの暗号方式はアルゴリズムが公開されているのでしょうか。されていないなら解読されるという前提で対応する必要があると思います。
私は偽造などへの対応は技術によるのではなくて、保険などの別の方法をメインにすべきだと考えています。

FelicaはPasoriとFelicaライブラリがあれば、共通鍵とか関係なく全データを自由に参照できます。
前述のコメントにもありますがSuicaのデータは生で入っているので履歴を読めます。さらに書き換えも自由です。ただしSuicaは利用時にサーバとマッチングをしているので書き換え等での不正は困難でしょう。隣の人のSuicaのデータを消去は簡単だけど、残高の履歴をとっているので窓口でリカバリしてもらえます。
FelicaはRFIDの様にカード毎にユニークな番号が振られている事を利用し偽造や成りすましを防ごうというポリシです。暗号機能や認証のあるICカードとは別物と考えましょうｗ　Felicaのオフィシャルページを見ると気がつくけど、暗号等に関する記述はかなり控えめ、というかなんか誤魔化されているような・・・暗号強度とか関係ないIEC15408持ち出す辺りが特にｗ　というかチップの仕様に暗号の記述はありませんからｗ

> 暗号化のキー長が短ければリスクなしとは言いませんが
暗号化はキー長がいくら長くてもリスクはあるはずです。
もちろん、日刊ゲンダイの
> ３秒ほどでＯＫ
は無いと断言していいでしょうが、身動きできない通勤ラッシュでずっとスキミングされても大丈夫なのか、という点は、大丈夫という根拠が見てみたいです。
（いくらコンピュータの処理速度が上がっても通信速度の制限がかかるので、24時間読み続けても複製できるだけのデータサンプルがとれない、とかなのでしょうが）

どちらにも穴は有るけど、あちらの穴の方がでっかいけど、日刊ゲンダイの主張の方が、より真実に近い気がします。勿論、カジュアルハッカーがスキャナ持ってちょこちょこやれるような話ではないのでアレですが、組織犯罪でやられた場合、と言うより、組織犯罪以外では不可能と思いますけれど、接触型や光学読み出しの物であれば非常に困難なはずですが、電波を使った非接触型であれば、多分カードそのものを偽造することなく、偽造カード同等品を作ることが可能になると思われます。具体的に書くのは痛くない腹を探られそうなのでやめますが、インプットが既知で、インプットアウトプットは横取り可能、しかも物性を合わせる必要が無いとなれば、危険な香りがプンプンするのは、鼻が利く人間ならばすぐ理解しそうなものですけど。なんか、ＩＴ系の技術者が電波を扱うと、すぐ暗号強度が出てきて、そこさえ押さえれば後は魔法の杖みたいな話になりがちですけど、もうちょっと電磁波そのものの性質に配慮すべきだと思います。そもそも、電波出してるような奴をうっかり信用するとろくなことにならないってのは・・・・・・（そういう落ちです(^^;。）

なんでいちいちリスク０にこだわるのか分かりませんが、暗号化のリスクが０じゃないと使いたくない人は使わなければいいだけでは。信用できないからってクレジットカード持たない人も普通にいるじゃないですか。現金はしばらく無くならないと思うので、そんな態度で良いと思うんですが。

＞暗号化はキー長がいくら長くてもリスクはあるはずです。

という発言は、コストの話を度外視している発言だと思います。通常、その時代に合わせたBit数の暗号キーを使用すればいいだけの話だと思います。

だいたい、1枚5万以内程度のお金を奪取するために、コストをかける人がいて（そりゃいるんでしょうが）、それに対する対策をそんなに必死にしなきゃいけないのかが疑問です。100万円以上使えるクレジットカードでも保険ですませているのだから、提供する会社が適当な保険（もしくはコンティンジェンシー）かけておけば良いだけでは。

デジタルだから偽造しやすくて、偽造カードが危ない危ないって言うけど、アナログの磁気カードの方が数倍偽造しやすいと思うんですが。そっちの危なさよりも十分安全側ならば、そんなに気にしなくたっていいじゃないかと思います。

個人情報についてもクレジットカード使ってる時点で行動とレースされてるもんだし。今更何をあおって楽しんでるんだか。無知だった方がシアワセだったって事なんですかね。