| From :
高木 浩光
|
2004/2/10 01:56
|
|
| Subj
:
【017】偽造防止目的のRFIDタグの応用
|
|
【003】佐藤
(1)タグひとつひとつに識別子が割り当てられることと、
(2)偽造や複製が難しいこと
も重要な特徴だと思います。実際、半導体の設計製造の技術・設備でもないと作れるものではありませんから、偽造コストを考えると同じ識別子をもったタグは世の中に一つしかないということになります。
この特質をもっとも有効に使うのは、坪田さんが書かれたとおり「権利証明」だと思いますし、その方向に無線ICタグを使うと発想が広がるでしょう。
RFIDタグ応用における偽造の困難性についてですが、確かに、従来のキャッシュカード等に使われている磁気ストライプなどが簡単に内容を書き換えられる(容易に偽造可能)ものだったのと異なり、RFIDタグでは(書き換え機能を持たないROMタイプであるなら)、半導体製造設備を利用できる者にしか偽造ができず、偽造の困難性は高いことになります。
しかし、これは、チップの偽造が困難というだけであって、タグの偽造が困難ということを意味するわけではありません。
タグを読み取る装置が、チップの物理形状を検査することなしに、単に応答電波の信号だけでもってタグの真正性を確認するようになっているなら、同じ電波を発信する全く別の電子回路をタグに取り付けることによって、タグ全体の偽造はできてしまいます。
そうした電子回路は容易に作ることができるでしょう。
RFIDタグのチップの製造に高度な技術が要求されているのは、単に小型化と低価格化を極限まで追求しているからであって、10センチ四方の電子基盤上に部品を載せて同じ機能のものを作ることは、おそらく中学生の電子工作くらいでもできるのではないでしょうか。
これは、小型化を追求している低機能タグほど、機能が単純であるがゆえに、簡単な回路で実現できるでしょう。しかも、偽のタグでは、外部からの電源供給を受ける必要もないので、回路はより簡単なものになるでしょう。
RFIDタグが偽造防止に使えるというのは、人の目視によるタグの物理形状の確認と合わせて初めて成り立つはずです。
たとえば、紙幣に偽造防止目的でRFIDタグを取り付けるという構想では、紙幣に数センチ角の電子回路基盤がくっついていたり、配線が外につながっていたら、その時点で誰でもそれは異常だと見破れるわけで、自動販売機等の場合でも、タグからの応答電波を見るだけでなく、紙幣全体およびタグ周辺の物理的性質の検査も併用して、真正性を確認するでしょう。
紙幣においてRFIDタグが偽造防止になるというのは、従来の様々な紙幣の偽造防止技術に新たにもう一つの技術を追加するということでしかありません。
同様に、高級ブランド商品の偽物識別にRFIDタグを使うという構想でも、商品の外観に影響を及ぼさない範囲で、そうした電子回路を取り付ける必要があって、それが困難であるために、偽造防止効果が成立しているのでしょう。商品本体を人が観察することなしに、商品が偽物か判定する場などというのは、ありえない(「自動古物買取査定装置」なんてありえない)話ですから、目視+タグの応答によって偽物判定がされるわけです。
それに対して、人が介在しない自動識別においては、RFIDタグによる識別はとても脆弱なものであることを認識すべきです。
テーマパークの入場券にRFIDタグを取り付けて偽造防止に使うという構想では、入場ゲートはどのような仕組みのものになるでしょうか。昔の改札機のように、改札機の中に入場券を差し込んで通す方式であれば、偽の電波を発信する回路が貼り付けられた偽造入場券は、装置の中に入らないか、入っても偽物と判別されるかもしれません。
しかし、せっかくRFIDタグを使うのだからということで、入場ゲートは非接触型になるかもしれません。非接触型であるなら、偽の電波を読み取り機に浴びせかけるのは、いろいろな方法で可能です。手元にアンテナを忍ばせ、ポケット内の装置から信号を送るということができるでしょう。これが可能なら、入場券本体はただの真っ白な紙でもよいかもしれません。
つまり、RFIDタグという「ハイテク」が高度に偽造を防止しているという思い込みから、人の目視による偽造券検査を省略してしまうという、技術への過信が問題をもたらすかもしれないということです。
このように述べると、「RFIDタグは暗号技術によって偽造防止をしている」とどなたかがおっしゃるかもしれません。
たしかに、128ビットのタグであれば、たとえば、上位64ビットのシリアルナンバーを暗号化した値を下位64ビットに格納しておけば、暗号の鍵を入手するか暗号を破らない限り、正規の値を示す応答電波を偽造できないと主張することができます。
しかし、他人の正規のRFIDタグからIDをコピーすることができてしまいます。
テーマパークの外に並んでいる適当な客のお尻のポケットに、リーダの電波をあてて、財布の中にある入場券のタグにIDを応答させます。この信号を読み取って、偽造電波発生回路に、同じ信号を応答するよう設定すれば、その客よりも先にゲートに行けば、偽物と見破られずに入場できるでしょう。
そうした「リプレイ攻撃」をするための専用装置を製造することも難しくないでしょう。
赤外線リモコンのごとく、特定周波数の搬送波の強弱をそのまま再現するというアナログな回路でも実現できてしまうかもしれません。
クレジットカードでは、磁気ストライプ内の情報を勝手に読み取るという「スキミング」の被害が多発しており、最近では国内で銀行のキャッシュカードに対してスキミングが横行しているとTBSなどで報道されています。
上に述べた被害シナリオは、いわば、RFIDタグの「スキミング」ですが、磁気ストライプのスキミングが、数ミリの距離まで近づかないと無理(たぶん)なのに対して、RFIDタグでは数十センチから数メートルの距離から可能になるわけで、問題はより現実的となるでしょう。
次に、たかがテーマパークの入場券ごときにそんな偽造工作はしないだろうという主張があり得ます。
たしかに、昔のテレホンカードにせよ、ハイウェイカードにせよ、いつかは偽造されてしまうような技術でそれなりの期間は実用になってきたわけですから、確実な技術対策をとらなくても社会は許容するということがあるようです。
しかし、それらの電子チケットでは、仮に成りすましが起きたとしても、その場合の被害者は事業者です。偽造チケットで先に同じIDで入られてしまった、本物の券の持ち主は、エラーではじかれるでしょうが、自分が確かに正規の購入者であることを証明することで、入場は許可されるでしょう。
しかし、RFIDタグが人の識別に使われる場合では話が違ってきます。
テーマパーク内に情報端末を設置して、入場券を端末にかざすと、その人向けにカスタマイズされたパビリオン案内が表示されるとか、優先予約をするといったアイデアが出ているようですが、そこでリプレイ装置を使って、他人の入場券のIDを送信すれば、その人の嗜好情報が得られるようでは、入場者のプライバシーが損なわれることになります。
古いシステムで脆弱な技術でもやってこられたのは、被害が起きても事業者だけがかぶるという前提できたからです。
ところが、RFIDタグへの期待が過剰に高まっている現在、それを人の識別に積極的に利用しようと様々なアイデアが出されています。それらの応用が、なりすましが起きた際に、消費者に被害が及ばないかをひとつひとつ検討する必要があります。
そういうわけで、単純に「RFIDタグ = 権利証明」とする発想にはゾッとしてしまいます。
【003】佐藤
またパスワードを入力するなどの既存「権利証明」システムはその操作が煩雑性なのですが、それを軽減することもできると思います。
たしかに、そのような認証に使えるRFIDシステムもあります。
私は、「RFIDタグ」と「RFIDカード」とを意識的に呼び分けています。「RFIDカード」は、カードという形状が暗示するように、人が意識的に差し出すことを意図して作られたものです。Suicaにせよ、住基カードにせよ、カード内で暗号演算を行うことにより、上に述べたリプレイ攻撃はできないように工夫されているはずです。
それに対し「RFIDタグ」は、タグという形状が示すように、物に取り付けて人の意思とは無関係に自動的に識別することを意図したものでしょう。
同時に、そうした目的のものは、タグの低価格性(と低消費電力)を最優先としているため、暗号演算機能を搭載していないものばかりです。その結果、リプレイ攻撃で簡単になりすましができてしまうものになっています。
そうした、物に付ける程度の目的で設計されたIDシステムを、人に対して使うべきではありません。それは、家畜の餌を人に食わせるようなものです。
まとめますと、
・人を識別するつもりのIDなのか、物を識別するつもりのIDなのかを明確に意識して設計することが必要。
・人を識別するつもりのIDには、その不正利用が人の不利益をもたらす場合には、なりすまし攻撃を防ぐ最低限のセキュリティ対策が必須である。
・物を識別するつもりのIDが、結果的に人を識別することにならないかを検討し、その影響を検討して設計することが必要。
といったところです。
 |
|
|
