東京国際セキュリティ・カンファレンスの初日、慶應義塾大学 政策・メディア研究科の羽田久一氏は「RFIDセキュリティ」と題した講演を行った。

通信に必要なあらゆるものは電波で供給される - 羽田氏

RFID(Radio Frequency - IDentification)は、無線通信を利用した非接触型の認識技術。無線ICタグとも呼ばれ、基本的にはバーコードに変わるとされる消費者向け、B2Cの技術であるが、物流などのB2Bにおける活用も期待されており、「来年度あたりから、実際のマーケットで利用されるようになるのではないか」(羽田氏)と言われている。

羽田氏はRFIDの構成を、無線の送受信機能をもつリーダーと、電波を受けるRFIDタグに分類。さらに、RFIDタグは無線機能によって2種類に分類することが可能で、電波を受信して反応するパッシブタグと、自身で電波を発信し続けるアクティブタグがある。また、この分類は内蔵電池の有無や通信可能な距離にもあてはまり、パッシブタグでは電池を内蔵せず数10cmで、アクティブタグでは電池を内蔵し数mでの通信が可能とされている。JR東日本が発行する「Suica」や電子マネーの「Edy」などは、パッシブタグにあたる。

パッシブRFIDタグの構造は、アンテナとICチップに分けることができる。RFIDのリーダー/ライター(読み取り/書き込み機器)はコマンドやデータのようなデジタルデータを伝えるだけでなく、電力も供給する。通信に必要なあらゆるものは電波で供給される－－と羽田氏。

RFIDのセキュリティ - 物理/電波/論理攻撃とその対策

羽田氏はRFIDのセキュリティ上の特徴として、「物理的攻撃」「電波的攻撃」「論理的攻撃」の3点を挙げた。物理的攻撃は主にタグやリーダー/ライターといったハードウェアに対する攻撃で、具体的にはタグのチップとアンテナ、リーダー/ライターの破壊などが考えられるほか、タグを剥がす行為自体が攻撃ともなりうる。羽田氏は「リーダーは製品の近くに無ければタグを読み込めないため、そこはどうしても物理的に脆弱になるであろう」との認識を示した。

電波的攻撃は、妨害電波を発信するとしても「鞄の中に発信機を入れて飛ばしてやることで」本体の目視が困難になるため、見えないところからの攻撃、遠隔攻撃が可能になるとのこと。羽田氏は、起こり得る攻撃として「通信プロトコルに直接介入するもの」も出てくるのではないかとした。

論理的攻撃は、サーバやデータベース、タグの中に入っているデータに対する攻撃が挙げられる。IDやデータ構造、タグに書き込まれているデータを改ざんしたり、強制的に読み取ったりする攻撃が考えられるという。実際の攻撃としては、タグのデータを消去、複製、複製した上でばら撒くなどしてデータの信憑性を破壊することなどが考えられるという。また、羽田氏は「リーダーが動作できなくなるような攻撃として、リーダーになりすましてサーバへデータを大量に送りつけるDoS攻撃のような手法が考えられるのではないか」との見解を示した。

RFIDのセキュリティを考える上では、実際の利益を狙った攻撃もあるがプライバシーを狙った攻撃も考えられる－－と羽田氏。電車の中で鞄に仕込んだリーダーを押し当てられたりした場合に、情報が漏洩する危険性がある。羽田氏は、RFIDを利用したプリペイドカードの一部には、購入/行動履歴に結びつく情報を保持するものがあり、一般的なリーダーによってこの情報をある程度まで読み取ることができると指摘。例えばどこからどこへ行ったという情報を第三者が取得することができると語った。また、攻撃者が対象に直接接近せずとも、対象とリーダーの間でやり取りされている通信を傍受するといった攻撃も考えられるとのこと。

これらの3種の脅威には、それぞれどのように対応したら良いか。羽田氏は「物理的攻撃」への対応として、タグを製品に埋め込み、露出しないようにすることが重要であると語った。家電製品などの横流しの場合、タグがついたままでは横流しは不可能だが、テレビを分解してまでタグを取り除く価値は無いのではないかという。タグの複製を防ぐためには、タグ発行時にユニークなIDを割り振ることや、メモリ領域を書き換え禁止に設定すること、独自のプロトコルを厳密に管理するなどオープンシステムとは反した手法を取ることなどを挙げた。また、ソフトウェアのライセンスシールでよく見られるような、一度剥がすとマークが浮き出るといったタグなども考えられるとのこと。羽田氏によると、特に家電メーカーは製品内部にどうやったらタグをうまく埋め込めるか、真剣に検討しているという。

羽田氏は「リーダー/ライターはタグに電波で電力を供給するので、出力が非常に大きい」ため、「現在のRFIDでは、リーダー側でどんなタグを読んでいるのかを絶対に申告しないようにプロトコルを策定している」と語った上で、電波的攻撃の対策を説明。具体的対策としては、片方向関数による盗聴への対応、周波数ホッピングによるノイズへの耐性向上などを挙げた。将来はプライバシー対策鞄というような、内側がアルミ蒸着の鞄が売られるようになるかも知れない－－と羽田氏は冗談交じりで語ったが、「スーパーの袋などはアルミ蒸着になるといったことは十分にあり得る」との見解を示した。

論理的攻撃を対策する側としての、決定的なディスアドバンテージとして、羽田氏は攻撃者の手元にタグがあることを挙げた。正規のタグのID部分を書き換える際にパスワードがかかっていたとしても、攻撃者の手元にタグがあるということは、ログを残さずに改ざんの試行が可能であるということを意味する。このような論理的攻撃に対しては、メーカー出荷時から同一IDを利用するよう、永久に書き込み不可能なタグを用いることで対応できるだろうとした。

羽田氏はRFIDのセキュリティについて、物理的破壊や妨害電波に対して暗号化ではなす術がないため、これを「一部の対策にしかならない」(羽田氏)と指摘し、タグやリーダー/ライターが攻撃者の手元にあることを考えた対策が重要であると語った。物理的/電波的攻撃への有効な対策がないことから、今後のこの分野における研究開発の課題であるとした。