チップと暗証番号(PIN)を利用するクレジットカードリーダーが、有効なPINなしでもトランザクションを決済処理してしまう可能性があり、カードの不正使用につながる恐れがあることを研究者らが突き止めた。
ケンブリッジ大学の研究者らが、デビットカードやクレジットカードの認証にチップとPINを用いるEMV(Europay、MasterCard、Visaの頭文字をとって名づけられている)プロトコルに基本的な脆弱性があることを発見した。
これを悪用してカードとPOS端末間の通信を盗聴、改ざんする端末を作ることが可能になり、PINによる認証が成功したかのようにターミナルに振舞わせることが可能になる。
ケンブリッジ大学のRoss Anderson教授はZDNet UKの取材に応じ「チップとPINの認証は崩壊している」と述べた。「銀行や小売店は『Verified by PIN』(PIN認証)であると書かれたレシートを頼りにしているが、これには全く意味がない」(Anderson教授)
研究者らは、PINを入力することなく、カードリーダーにトランザクションを処理させることに成功した。さらにその後のテストで、正確なPINを知らないまま、実際に発行されているカードで処理を進められることを確認した。テストに使われたのは、Barclaycard、Co-operative Bank、Halifax、Bank of Scotland、HSBC、John Lewisの6社が発行したカードだった。
EMVプロトコルの問題は、カードとターミナル間のあいまいな認証情報のやりとりと、銀行が受け取る情報にある。
ターミナルはPINによる認証が行われたことを記録するものの、カード側が受け取る認証成功のメッセージにはPIN入力が行われたことが示されていない。一方の銀行は、ターミナルが記録した認証情報を受け取り、そのまま決済処理が進むことになる。
したがって、処理を進めるにはPINの入力は必要だが、ターミナルにどんなPINでも承認させることが可能であると、研究者らは論文「Chip and PIN is Broken」で結論付けている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。 原文へ
