Chip and PIN Tampering」より
February 29,2008 Posted by Gunter Ollmann

 インターネット・セキュリティの専門家たちは、昔から「物理的なアクセス手段があれば、乗っ取れる」と言ってきた。残念なことに、この考えを理解すらできない組織があまりにも多い。この状況を端的に示す例を紹介する。それは、スマートカードと暗証番号をやり取りするカード・リーダーだ。

 英ケンブリッジ大学の研究者が「Thinking inside the box:system-level failures of tamper proofing(きょう体内部に関する考察:不正操作防止機構におけるシステム・レベルの欠陥)」(PDF形式の論文)と題する非常に興味深い内容の論文を書き、不正操作を防止できると考えられる技術の弱さを検証した。

 この論文が重要なのは、暗証番号を読み取るスマートカード用リーダーの弱点を詳細に記しているからだけでない。多くの銀行が新たな詐欺対策技術を導入しようとしている一方、顧客に強いるセキュリティ侵害の金銭的負担を増やしつつあるタイミングで発表されたことも大きな意味を持つ。銀行が不正操作不可能なシステムを開発できたと信じ切っているかどうかや、組織化された犯罪者集団によって成し遂げられる結果をひどく過小評価しているかどうかについて、筆者は判断できない。しかし、セキュリティ専門家の言葉がいまだに有効であることを自ら証明してしまった。それなのに、顧客側が不注意の責任を問われたり、それどころか一連の詐欺行為で共犯者とされたりしてきた。

 この論文で説明されているスマートカードに対する「shim-in-the-middle(くさび挿入)」攻撃と、米IBMのX-Force研究開発チームが見つけた最新の「Man-in-the-Browser(Webブラウザを狙う仲介者)」攻撃マルウエアは、一見してよく似ていることが分かる。いずれも、暗号化技術におけるレイヤーの間を攻撃することで、邪魔されずに重要なデータ通信を盗み出してしまう。

 さらに、こうしたセキュリティ手段が(技術に詳しくない平均的な顧客から)複雑そうに見えると、セキュリティ手段そのものが攻撃成功の要因になる。複雑化によって、ソーシャル・エンジニアリングや攻撃隠ぺいに悪用できる様々な手段を与えてしまうのだ。

 論文内の認定プロセスに関する見解も注目に値する。セキュリティ評価基準のCommon Criteriaに言及し、「市場競争で評価コストは下がる可能性はあるものの、評価機関のレベル低下につながる」とした。これは、セキュリティ業界(および同業界の顧客)にとって気がかりな指摘だ。製品評価機関はお互いに競いつつ、セキュリティ・ベンダーから評価作業を受注できるようバランスを取り続けなければならない。過剰に厳しい評価基準を採用すれば、多くの製品が試験で不合格となり、ベンダーは評価作業を依頼しなくなる。だからといって基準を甘くし過ぎると、全ベンダーが同じ「優秀」な評価を獲得する結果、他社との差別化ができなくなり、評価作業を依頼しなくなる。

 つまり、最終的に評価の品質は評価基準を選ぶ人物と、セキュリティ技術の不正操作方法を追究する攻撃者の手口に対するその人物の(創造力でなければ)理解度に応じて、レベルが低下する。夜も更けたので、もう一つの格言「お前より賢い奴が必ずいる」で当記事を終わりにしよう。


Copyrights (C) 2008 IBM, Corp. All rights reserved.

本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,Chip and PIN Tamperingでお読みいただけます。