【電子マネー/オランダ】地下鉄切符の「スマートカード」、ハッキングされる--模造カードで無賃乗車[08/06/26]
1 :やるっきゃ騎士φ ★:
オランダのセキュリティー研究者が、ロンドン地下鉄を終日無賃乗車した。通勤者が
運賃精算に使う「スマートカード」を、普通のノートパソコンを使って簡単に模造したのだ。
このハッキング行為は、セキュリティー上の重大な欠陥を指摘している。
同様のカードは、数多くの官公庁、病院、学校などに出入りするために使われているからだ。
地下鉄乗車用のスマートカードは『Oyster Card』と呼ばれ、1700万枚以上が発行されている。
ロンドン交通局では、このような悪用は乗客に脅威を与えるものではないうえ、
「1回のカード偽造によって得られるものは、せいぜい1日の乗車に過ぎない」と述べている。
しかしこの脆弱性は、無賃乗車や、カードに記録されている可能性がある個人情報を
盗み出すことだけに留まらない。
Oyster Cardには、安全対策が施された多くの場所に出入りするための
セキュリティー・カードで使われているのと同じ『Mifare』チップが入っている。
セキュリティーの専門家は、このような悪用は公共の安全にとって脅威となるため、
カードを交換する必要があると指摘する。
セキュリティー・コンサルタントのAdam Laurie氏は『Telegraph』紙に対し、
「(Mifareチップの)暗号技術は目的に合っていない」と話している。
「非常に脆弱性が高いため、悪意を持つ人間にすぐにでもハッキングされることが予想される。
まだハッキングされていなければの話だが」
オランダ政府はこの悪用を真剣に受け止めており、政府の建物の安全対策に使われる
スマートカード・システムを改良しているところだという。オランダ内務省は報道記者に対し、
「国家安全の問題だ。中央政府レベルの公務員12万人全員のカードを交換している最中だ」
と述べている。
『Times』紙によると、[今回の出来事は、もともと、]オランダのラドボード大学研究者
Bart Jacobs氏の研究チームが、オランダのある建物に入るためのカードを、普通の
ノートパソコンで模造したことだという。この方法が成功した後、彼らはロンドンに行って
地下鉄で同じ技術を試した。
研究チームは、ロンドン地下鉄で多数設置されているカードリーダーの1つをス
キャンして、システムの安全を守るとされている暗号鍵を集めた。
これらの鍵をノートパソコンにアップロードし、いわば携帯型カードリーダーとして
機能するようにした。次に、チームのメンバーが別の乗客に軽く接触して、
その乗客が持つOyster Cardの情報を無線で獲得した。この情報が手に入れば、
これを使って新しいカードを作るのは簡単だった。
Jacobs氏によると、同じ技術を使うことによって、安全対策が施された建物に
出入りするためのスマートカードを模造できるという。
Jacobs氏は『Times』紙に対し、「携帯型カードリーダーを持った人物が、
従業員に身体をぶつけ、相手になりすますことができる」と話している。
「自分の身分証明情報を盗まれても、何かが起こったことにはまったく気付かないだろう。
技術レベルでは、いまのところ対処法はわかっていない」
ソースは
http://it.nikkei.co.jp/security/news/index.aspx?n=MMITca000025062008
依頼を受けてたてました。
運賃精算に使う「スマートカード」を、普通のノートパソコンを使って簡単に模造したのだ。
このハッキング行為は、セキュリティー上の重大な欠陥を指摘している。
同様のカードは、数多くの官公庁、病院、学校などに出入りするために使われているからだ。
地下鉄乗車用のスマートカードは『Oyster Card』と呼ばれ、1700万枚以上が発行されている。
ロンドン交通局では、このような悪用は乗客に脅威を与えるものではないうえ、
「1回のカード偽造によって得られるものは、せいぜい1日の乗車に過ぎない」と述べている。
しかしこの脆弱性は、無賃乗車や、カードに記録されている可能性がある個人情報を
盗み出すことだけに留まらない。
Oyster Cardには、安全対策が施された多くの場所に出入りするための
セキュリティー・カードで使われているのと同じ『Mifare』チップが入っている。
セキュリティーの専門家は、このような悪用は公共の安全にとって脅威となるため、
カードを交換する必要があると指摘する。
セキュリティー・コンサルタントのAdam Laurie氏は『Telegraph』紙に対し、
「(Mifareチップの)暗号技術は目的に合っていない」と話している。
「非常に脆弱性が高いため、悪意を持つ人間にすぐにでもハッキングされることが予想される。
まだハッキングされていなければの話だが」
オランダ政府はこの悪用を真剣に受け止めており、政府の建物の安全対策に使われる
スマートカード・システムを改良しているところだという。オランダ内務省は報道記者に対し、
「国家安全の問題だ。中央政府レベルの公務員12万人全員のカードを交換している最中だ」
と述べている。
『Times』紙によると、[今回の出来事は、もともと、]オランダのラドボード大学研究者
Bart Jacobs氏の研究チームが、オランダのある建物に入るためのカードを、普通の
ノートパソコンで模造したことだという。この方法が成功した後、彼らはロンドンに行って
地下鉄で同じ技術を試した。
研究チームは、ロンドン地下鉄で多数設置されているカードリーダーの1つをス
キャンして、システムの安全を守るとされている暗号鍵を集めた。
これらの鍵をノートパソコンにアップロードし、いわば携帯型カードリーダーとして
機能するようにした。次に、チームのメンバーが別の乗客に軽く接触して、
その乗客が持つOyster Cardの情報を無線で獲得した。この情報が手に入れば、
これを使って新しいカードを作るのは簡単だった。
Jacobs氏によると、同じ技術を使うことによって、安全対策が施された建物に
出入りするためのスマートカードを模造できるという。
Jacobs氏は『Times』紙に対し、「携帯型カードリーダーを持った人物が、
従業員に身体をぶつけ、相手になりすますことができる」と話している。
「自分の身分証明情報を盗まれても、何かが起こったことにはまったく気付かないだろう。
技術レベルでは、いまのところ対処法はわかっていない」
ソースは
http://it.nikkei.co.jp/security/news/index.aspx?n=MMITca000025062008
依頼を受けてたてました。
|
|
|
2 :名刺は切らしておりまして:2008/06/26(木) 14:04:22 ID:R6fFdL5j
リアル攻殻機動隊の時代になったんだな・・・
3 :名刺は切らしておりまして:2008/06/26(木) 14:08:13 ID:366cCRZb
技術的なことはわかんないんだけど、日本のSuicaやFelicaに使われてる技術も同じようにハッキング可能なの?
4 :名刺は切らしておりまして:2008/06/26(木) 14:08:27 ID:VCI5A19Z
すれたて感謝。
広く使われているMifareでやって見せた、っていうのは技術的に可能かどうかというよりも
なんというかインパクト大きいな。TASPOでタバコ買い放題の可能性も...
広く使われているMifareでやって見せた、っていうのは技術的に可能かどうかというよりも
なんというかインパクト大きいな。TASPOでタバコ買い放題の可能性も...
5 :名刺は切らしておりまして:2008/06/26(木) 14:11:13 ID:oz4JUe3d
へえ。
しかし報道されて真似するギャングとかマフィアとかいっぱい出てきそうな悪寒
しかし報道されて真似するギャングとかマフィアとかいっぱい出てきそうな悪寒
6 :名刺は切らしておりまして:2008/06/26(木) 14:12:20 ID:O9qrwN3d
暗号さえクリアすれば可能
7 :名刺は切らしておりまして:2008/06/26(木) 14:12:41 ID:X2mb5xhz
お財布携帯からカネを抜き放題か?
8 :名刺は切らしておりまして:2008/06/26(木) 14:14:01 ID:smbRTNjG
東アジアの共通なんちゃらも不安だな。
9 :名刺は切らしておりまして:2008/06/26(木) 14:14:04 ID:9dFSYcBI
模造カードを使ってるのをどうやって見つけたんだ?
10 :名刺は切らしておりまして:2008/06/26(木) 14:14:08 ID:kIfwir90
利便性をあげるとこういったリスクはつきものですなぁ
11 :名刺は切らしておりまして:2008/06/26(木) 14:16:47 ID:mNj5QZPS
まあモラルの問題だとは思うが
いずれはハックされることは解ってたんじゃないの?
いずれはハックされることは解ってたんじゃないの?
12 :名刺は切らしておりまして:2008/06/26(木) 14:22:34 ID:366cCRZb
wikipediaで見たけど、Mifareの中でもClassicという規格の脆弱性の問題で、他の安全性の高い規格には無関係らしいね
13 :名刺は切らしておりまして:2008/06/26(木) 14:27:19 ID:yWifxQDR
こんな脆弱性を抱えた3世代くらい前の規格使うなよ。
ケチらずにちゃんとしたICチップ使えば問題ない。
ケチらずにちゃんとしたICチップ使えば問題ない。
14 :名刺は切らしておりまして:2008/06/26(木) 14:35:14 ID:yFSBiBOE
日中韓共通電子マネーやばい
15 :名刺は切らしておりまして:2008/06/26(木) 14:36:52 ID:kn7tNxZj
16 :名刺は切らしておりまして:2008/06/26(木) 14:45:28 ID:o/cia7B0
ここはFeliCaを売り込むチャンス
17 :名刺は切らしておりまして:2008/06/26(木) 15:05:05 ID:xc5KZUG1
ハッキングのプロセスが詳細に書いてあるのが面白いな
かなり犯罪じみた手法、というか犯罪だがw
かなり犯罪じみた手法、というか犯罪だがw
18 :名刺は切らしておりまして:2008/06/26(木) 15:19:28 ID:rTAKs+NF
19 :名刺は切らしておりまして:2008/06/26(木) 15:26:55 ID:Xz3C+zw7
Rのつかない月ですから
20 :名刺は切らしておりまして:2008/06/26(木) 17:09:19 ID:smEEwKCg
タスポ終了のお知らせ
21 :名刺は切らしておりまして:2008/06/26(木) 17:11:47 ID:9DmLWKl8
まぁ偽札と同じで、どんだけ安全に作ろうとしても、少し時間が経つと無意味になる。
中国・韓国との共通化なんて言語道断。
中国・韓国との共通化なんて言語道断。
22 :名刺は切らしておりまして:2008/06/26(木) 17:16:43 ID:VCI5A19Z
23 :名刺は切らしておりまして:2008/06/26(木) 17:36:40 ID:S1Sq7f4J
オイスターカード?
牡蠣札ww
牡蠣札ww
24 :名刺は切らしておりまして:2008/06/26(木) 17:47:18 ID:VCI5A19Z
>>23
交通のイメージとは直接リンクしない名前を考えたらしい。
自分はぜんぜんなじみがないが、シェークスピアの喜劇
「ウィンザーの陽気な女房たち(The Merry Wives of Windsor)」
でのせりふがもとになっている表現。
「The world is your oyster」 この世界はあなたのもの。
そういう文化的背景のあるネーミングらしい。
イギリスはわからんわ。
交通のイメージとは直接リンクしない名前を考えたらしい。
自分はぜんぜんなじみがないが、シェークスピアの喜劇
「ウィンザーの陽気な女房たち(The Merry Wives of Windsor)」
でのせりふがもとになっている表現。
「The world is your oyster」 この世界はあなたのもの。
そういう文化的背景のあるネーミングらしい。
イギリスはわからんわ。
>>23
香港は蛸だぜ?
香港は蛸だぜ?