ディスカッションペーパーシリーズ(日本語版) 2015-J-10

ICカード利用システムにおいて新たに顕現化したPre-play attackとその対策

井澤 秀益、廣川 勝久

近年、キャッシュカードやクレジットカードの偽造・不正使用に対する耐性を高めるためICカード化が進められている。こうした金融分野におけるICカードを用いたカード取引のためのICカードと端末に関する仕様を定めたデファクト標準としては「EMV仕様」があり、日本を含め国際的に利用されている。EMV仕様においては、そのセキュリティ機能の一つとして、取引データが改ざんされていないことや、当該取引のためにICカードが利用されていることを保証する「取引認証」の仕組みがある。
ただ近年、英国ケンブリッジ大学の研究グループが、この「取引認証」に対して、ある条件のもとで攻撃が成立し、実質的に正規ICカードが行う取引と同等の取引が攻撃者作成のカードで可能となることを発表した。本攻撃を発表したグループは当該攻撃手法を「Pre-play attack(プリプレイ攻撃)」と名付けており、欧州において実際に起こったATMからの不正現金引き出し事例について、本攻撃手法が使われた可能性を指摘している。
そこで本稿では、Pre-play attackの手法や攻撃が成立する条件等について解説するとともに、Pre-play attackへの対策手法を検討する。

キーワード:ICカード、EMV仕様、取引認証、Pre-play attack


掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。

Copyright © 2015 Bank of Japan All Rights Reserved. 注意事項

ホーム