クレジットカードでの RFID タグの使用増加に伴うセキュリティ上の問題があることは以前から知られていましたが、先週末、ハッカーがそれをいかに簡単に悪用できるかが新たに実証されました。
ワシントン DC で開かれた Shmoocon ハッカー カンファレンスのステージ上で、Recursion Ventures のセキュリティ研究者 Kristin Paget 氏は約 350 ドル相当の機器を使い、ボランティアの RFID 対応クレジットカードを無線で読み取り、そのキーデータを空白カードにエンコードしたと、フォーブスが月曜日に報じた。
次に、彼女は不正カードとSquareカードリーダーを使用して自分自身に支払いをしました。
「恥ずかしいほどシンプル」
手の込んだトリック?そんなことはない。「これは恥ずかしくなるほど単純なハックですが、効果はあります」とパジェット氏はフォーブス誌に語った。
基本的に、店舗のPOSデバイスが非接触型カードのデータをワイヤレスで読み取るのとほぼ同じように、標準的な財布や衣服を通して、暗号化やセキュリティ対策の有無にかかわらず、ほぼすべてのRFIDリーダーでも読み取ることができるため、これが可能だとパジェット氏は述べた。
報告書によると、今日の非接触型カードは、ユーザー名、PIN、または3桁の永続的なCVVコードをワイヤレスで取得できない。また、不正使用の繰り返しを防ぐため、スキャンごとに1回限りのCVVコードを使用する。6年間の使用実績があるが、この種の不正行為は記録されていないという。
それでも、パジェット氏のデモンストレーションは、1人または複数のハッカーが多数の被害者のカードをスキャンし、たとえ各カードを一度だけ使用するだけでも、いかに簡単であるかを示している。
「ハイ」で3秒
では、自分自身とビジネスを守るために何ができるでしょうか?
まず、お持ちのカードにRFID対応カードがあるかどうかを確認してください。例えば、PayPassとpayWaveは、米国でこの技術を提供している代表的な2つのサービスです。
もしあなたがRFIDチップを持っていると仮定すると、それを保護するにはいくつかの対策があります。より極端な方法としては、RFIDチップを電子レンジで焼くという方法があります。Paget氏はForbes誌に、3秒で破壊できると語っているそうです。もちろん、その場合、非接触決済機能も使えなくなります。
ダクトテープとアルミホイル
一方、Recursion Ventures は、RFID 対応クレジットカード用の強力な保護デバイスを開発中であると報じられているが、まだ試作段階にある。
それまでの間、RFIDをブロックするシールドやウォレットを試してみるのも良いでしょう。これらは通常、アルミニウムやスチール製で、覗き見を防いでいます。ダクトテープとアルミホイルだけで、既存のウォレットにRFIDをブロックする保護機能を追加する方法をウェブ上で紹介しているものもあります。
決して無敵ではありませんが、カードを安全な場所に保管する以外では、このような手順が今のところ最善の策かもしれません。
