目に見えない脆弱性:RFIDスマートカードテクノロジーの迫り来るセキュリティ危機を調べる
ロンドン - オフィスアクセスキーや非接触型の支払いカードから公共交通機関のパスや最新のパスポートまで、ラジオ周波数識別(RFID)スマートカードは、私たちの日常生活のファブリックにシームレスに織り込まれています。しかし、サイバーセキュリティの専門家のコーラスの増加はアラームを上げており、この技術の非常に便利さが重要でしばしば過小評価されているセキュリティリスクの風景を覆い隠すことを警告しています。
問題の中核は、RFID通信の無線性にあります。スワイプする必要がある従来の磁気ストライプカードとは異なり、RFIDカードは、所有者のウォレットを離れることなく、短い距離から読むことができます。この機能は、便利ですが、悪意のある俳優向けの攻撃ベクターの豊富なものを開きます。
「一般の認識は、これらのカードは安全であるということですが、現実ははるかに複雑です」と、グローバルインスティテュートオブサイバーテクノロジーの組み込みシステムセキュリティの主要な研究者であるアリナペトロバ博士は説明します。 「多くの第一世代および低コストのRFIDカードは基本的な暗号化を欠いています。それらは静的で変化のないデータを送信します。これは、安価で既製の読者を持つ攻撃者が、ポケットまたはバッグを介してカードのデータを「スキム」し、犠牲者の知識を完全にクローンすることができることを意味します。
脅威は単純なスキミングを超えて拡張されています。より洗練された攻撃には次のものがあります。
-
盗聴: カードと読者の間のワイヤレス通信を傍受します。
-
リプレイ攻撃: カードからの合法的な送信をキャプチャし、後でそれを再生して、不正アクセスを得ます。
-
データ操作: カードに保存されているデータを適切に保護していない場合は、変更します。
-
トラッキング: カードの一意の識別子を使用して、個人の動きを同意せずに追跡します。
その意味は深刻です。クローン化されたアクセスカードは、安全な施設に物理的なエントリを付与できます。スキムされた支払いカードは、財政的詐欺につながる可能性があります。堅牢な暗号化を含む最新のeパスポートでさえ、閉じたときに適切に保護されないと脆弱性があることが示されています。
緩和への道
業界はじっと立っていません。 AES-128暗号化のような高度な暗号プロトコルを利用する高セキュリティRFIDカードの採用は増加しています。カードと読者が互いに「データを転送する前に互いに合法性を確認する相互認証などのテクノロジー、およびすべてのトランザクションで送信された情報が変更された動的データ交換が新しい標準になりつつあります。
「真にRFIDを保護するには、多層的なアプローチが必要です」とSecurtech SolutionsのCTOであるMichael Thorne氏は述べています。 「それはカード自体だけではありません。 「カード、読者、バックエンドシステム全体がセキュリティを念頭に置いて設計されていることを保証することです。消費者は、RFIDブロッキングウォレットまたはスリーブを使用して物理的なセキュリティの本質的な層を追加することを積極的に積極的にする必要があります。」
私たちの世界がますますつながるにつれて、RFIDセキュリティに関する会話は、ニッチな技術的懸念から個人的および企業の安全性の主流の問題に移行しています。このテクノロジーは否定できない利益を提供しますが、その脆弱性を理解することは、リスクを緩和し、利便性がセキュリティの犠牲を払ってもらえないことを保証するための最初で最も重要なステップです。
