ケンブリッジ大学の研究者らによると、欧州全域で何億枚もの決済カードに欠陥があり、盗まれたカードを持つ犯罪者が任意の暗証番号を入力して取引を完了できる可能性があるという。
5月にカリフォルニアで開催されるIEEEのセキュリティとプライバシーに関するシンポジウムで発表されるこの研究結果は、チップとPIN、あるいはE
MVカード。カードには、取引を完了するために正しいPINを検証するマイクロチップが搭載されています。
欧州の銀行は、米国のカードにはマイクロチップが搭載されておらず、これまで一部のカードの複製を防いできたことから、このシステムはより安全だと評価している。
しかし、ケンブリッジ大学の研究者たちは、複雑なEMVプロトコルに中間者攻撃を可能にする脆弱性を発見しました。この脆弱性は、POS端末がどのような数字を入力しても正しいPINを受信したと錯覚させるものです。
研究者らが木曜日のBBCのニュースナイト番組で実演したように、この攻撃にはチップとPINのシステムと外部ハードウェアに関する高度な知識が必要だ。
それでも、「この欠陥は本当に厄介だ」とセキュリティ工学教授のロス・アンダーソン氏はニュースナイトで語った。
番組では、アンダーソン氏の同僚であるサール・ドリマー氏が、ケンブリッジ大学のカフェテリアでの攻撃の様子を解説している。彼はノートパソコンとFPGA(フィールド・プログラマブル・ゲート・アレイ)ボードが入ったバックパックを背負っていた。POS端末にはダミーカードが実際に挿入されており、盗まれたカードと接続されていた。
欠陥が実証された
研究者たちは、デモンストレーションのためにHSBCのクレジットカード、ジョン・ルイス百貨店のクレジットカード、そしてバークレイズとコーポラティブ・バンクのデビットカードを使用しました。ドリマー氏が、ワイヤーが突き出ているダミーカードをPOS端末に巧みに挿入する様子が映っています。ドリマー氏が誤ったPIN番号「0000」を入力したにもかかわらず、取引は承認されました。
銀行業界は、約2か月前に研究者からこの攻撃について知らされました。HSBCとバークレイズは、銀行業界団体であるUK Paymentsにコメントを依頼しました。
「チップ&PINが絶対に安全だとは言っていません」と広報担当者は金曜日に述べた。「(今回の攻撃は)日常的な環境では起こり得ないと確信しています。彼らはこの詐欺を実行するために、複雑な手口を編み出しました。」
この装置は複雑に見えるが、非常に単純な動作をしており、凝縮できる可能性があると研究者の一人、スティーブン・J・マードック氏は語った。
計算処理を行うPCは、超小型のマイクロプロセッサに置き換えることができる。PCと決済カード間の電圧やデータレートを調整するFPGAも、はるかに小型の技術に置き換えることができる。また、両方の決済カードを無線で通信するように改造すれば、現在のデモで示したような有線接続は不要になるとマードック氏は述べた。
最新のニュースナイトのデモンストレーションでも、昨年12月のテストでも、銀行は明らかに不正行為を検知できなかった。「もしこのようなことをしたとしても、捕まらないだろう」とマードック氏は述べた。
ケンブリッジ大学の研究者らはこれまでチップ・アンド・PINに対して非常に批判的であり、その仕様に数多くの技術的問題を発見し、開発の透明性の欠如を批判してきた。
銀行は、たとえ顧客が他の誰もその暗証番号を知らなかったと主張しても、その暗証番号が使われた取引による損失について顧客に責任を負わせる傾向があるため、これは問題だと彼らは主張している。
「これまで銀行は、正しい暗証番号がないとカードが使えないと主張し、被害者への返金を拒否してきた」と、「チップと暗証番号は破られている」と題された報告書には記されている。「この報告書は、彼らの主張が虚偽であることを示している」
世界中で約7億3000万枚のICチップ&PINカードが利用されています。ヨーロッパ諸国のほとんどでこのカードが使用されており、カナダでも導入が進められており、米国でも検討されています。マードック氏とアンダーソン氏は水曜日にフィラデルフィア連邦準備銀行で、EMVカードに関連するセキュリティ問題について講演する予定です。
この研究は、ドリマー氏とアンダーソン氏に加え、スティーブン・J・マードック氏とマイク・ボンド氏によっても行われました。詳細はLight Blue Touchpaperブログをご覧ください。
