クレジットカード等の金融取引用ICカードとこれに利用される端末の仕様を定めた業界標準「EMV仕様」が日本を含め国際的に利用されている。EMV仕様に準拠したICカードと端末を利用する「ICカード利用システム」は、端末やホストシステムおよびそれらをつなぐ通信路等から全体システムが構成されており、端末やホストシステム自体あるいは端末とホストシステム間の通信路におけるさまざまな脅威について対策が講じられてきた。しかし、ICカードと端末間を流れるデータの盗聴・改ざんを行うタイプの「中間者攻撃」については、これまで必ずしも現実的な脅威として認識されてこなかった。こうしたなか、近年、実際の運用環境と同等の実験環境において、ICカードと端末間への中間者攻撃により本人になりすました不正な取引が成立しうることが示された。
そこで、本稿では、EMV仕様において規定されている最低限の要件のみを満たすICカード利用システムを検討対象とし、各攻撃への対策および対策の実装のために追加的に求められる要件について検討する。また、対策の導入コストの問題や利便性の低下等により、技術的には対策可能であっても適用が困難な状況が想定される場合には、運用面での対策が一層重要になることを指摘する。
キーワード:EMV仕様、中間者攻撃、ICカード、本人確認、クレジットカード、キャッシュカード、ビジネスリスク管理
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。