オランダのセキュリティー研究者が、ロンドン地下鉄を終日無賃乗車した。通勤者が運賃精算に使う「スマートカード」を、普通のノートパソコンを使って簡単に模造したのだ。
このハッキング行為は、セキュリティー上の重大な欠陥を指摘している。同様のカードは、数多くの官公庁、病院、学校などに出入りするために使われているからだ。
地下鉄乗車用のスマートカードは『Oyster Card 』と呼ばれ、1700万枚以上が発行されている。
ロンドン交通局では、このような悪用は乗客に脅威を与えるものではないうえ、「1回のカード偽造によって得られるものは、せいぜい1日の乗車に過ぎない」と述べている 。しかしこの脆弱性は、無賃乗車や、カードに記録されている可能性がある個人情報を盗み出すことだけに留まらない。
Oyster Cardには、安全対策が施された多くの場所に出入りするためのセキュリティー・カードで使われているのと同じ『Mifare 』チップが入っている。セキュリティーの専門家は、このような悪用は公共の安全にとって脅威となるため、カードを交換する必要があると指摘する。
Photo credit: Transport for London |
セキュリティー・コンサルタントのAdam Laurie氏は『Telegraph 』紙に対し、「(Mifareチップの)暗号技術は目的に合っていない」と話している。「非常に脆弱性が高いため、悪意を持つ人間にすぐにでもハッキングされることが予想される。まだハッキングされていなければの話だが」
オランダ政府はこの悪用を真剣に受け止めており、政府の建物の安全対策に使われるスマートカード・システムを改 良しているところだという。オランダ内務省は報道記者に対し、「国家安全の問題だ。中央政府レベルの公務員12万人全員のカードを交換している最中だ」と 述べている。
『Times 』 紙によると、[今回の出来事は、もともと、]オランダのラドボード大学研究者Bart Jacobs氏の研究チームが、オランダのある建物に入るためのカードを、普通のノートパソコンで模造したことだという。この方法が成功した後、彼らはロ ンドンに行って地下鉄で同じ技術を試した。
研究チームは、ロンドン地下鉄で多数設置されているカードリーダー の1つをスキャンして、システムの安全を守るとされている暗号鍵 を集めた。
これらの鍵をノートパソコンにアップロードし、いわば携帯型カードリーダーとして機能するようにした。次に、 チームのメンバーが別の乗客に軽く接触して、その乗客が持つOyster Cardの情報を無線で獲得した。この情報が手に入れば、これを使って新しいカードを作るのは簡単だった。
Jacobs氏によると、同じ技術を使うことによって、安全対策が施された建物に出入りするためのスマートカードを模造できるという。
Jacobs氏は『Times』紙に対し、「携帯型カードリーダーを持った人物が、従業員に身体をぶつけ、相手 になりすますことができる」と話している。「自分の身分証明情報を盗まれても、何かが起こったことにはまったく気付かないだろう。技術レベルでは、いまの ところ対処法はわかっていない」
[「RFIDハッカーに対抗できるスチール財布」についての過去記事はこちら(日本語版記事) ]
http://it.nikkei.co.jp/security/news/index.aspx?n=MMITca000025062008
『RFID』を使って、人間の皮膚に埋め込もうと考えている危険なもの、最終的にゾンビ人間を作る為、脳に埋め込もうと考えている危険性大と考えているものを!!!