RFID(Radio Frequency IDentification:無線ICタグによる各種の認証技術)と通信プロトコルのセキュリティに関するリサーチャー兼コンサルタントであるAdam Laurie氏は、当初計画された仕様の範囲外でプロトコルが利用されているため、通信プロトコルの実装には、概して適切なセキュリティが備わっていないという見解に同意した。
Laurie氏はZDNet.co.ukに、次のように述べた。「私が調べる事例の多くは、異なるプロトコル間で発生する予期しない相互作用についてのものだ。Bluetoothのハッキングは多数発生していて、適切なセキュリティが備わっていない典型的な例だ。近距離の通信は、シリアルケーブルの「プロファイル」(接続する両側の機器の仕様や機器間の通信プロトコルなどを定義したもの)として始まり、赤外線が利用され、その後、攻撃対象になる全体的な範囲が変わったことを考慮に入れないままBluetoothになった。今では、100m以内にいる人はだれでもBluetoothデバイスに接続できる規格になったのに、デバイスメーカーは一歩後退してプロトコルに変更を加えるようなことはしていない」
Laurie氏は、イギリスのパスポート用チップのRFID通信をクラックしたことや、ホテルの部屋にあるテレビの赤外線リモコンから、どうにかホテルのWebサーバとバックエンドシステムにアクセスしたことでも有名だ。Laurie氏はInfosecurity Europe 2008会議での機会を利用し、ロンドンの交通システムで使われているOysterスマートカードの置き換えを求めた。これは、オランダの類似のカードが最近ハックされたことを踏まえての発言で、どちらのカードもNXPという企業の同じMifare技術に基づいている。
Laurie氏はRFIDの脆弱性に関する基調講演で、「現在、少なくとも3件の(Mifareに関する)クラックが存在すると理解している」と述べ、講演後にはZDNet.co.ukに、Oysterカード事業計画の運営主体であるロンドン交通局(Transport for London:TfL)はできるだけ早期にアップグレードを検討すべきだと考えている、とコメントした。
オランダ政府がMifareに基づくカードを置き換える予定だと発表したのは正しかったと、同氏は語る。「オランダ政府が一気に決定を下したことには拍手したよ。TfLが置き換えをさっさと進めればよいのだが、こうした決定は軍拡競争のようなもので、まず実現可能だとわからないと、着手して実施すると発表するのに十分な勢いがつかないのだ」Laurie氏は、Oysterカードがクラックされていることをだれかが具体的に証明するまで、そうした状況にはならないだろうと考えている、と付け加えた。
TfLの広報担当者は4月23日、ZDNet.co.ukに、すでにMifareに組み込み済みのものに加えて、Oysterシステムに追加のセキュリティシステムを組み込んでいると述べた。「今のセキュリティシステムの内部には手を付けていないが、全体としてのOysterシステム内に追加のレイヤを設けている。複製されたカードや詐欺目的のデバイスがないか毎日テストを行い、そうしたものは1つも発見されていない。オランダでの状況は承知しているが、現段階では、セキュリティ上の懸念のために別のシステムに移行する理由はない」というのが広報担当者の主張だ。
