米パッチ・アドバイザのジェフリー・フェイ社長
米パッチ・アドバイザのジェフリー・フェイ社長
[画像のクリックで拡大表示]

 「ICカードだから、データの漏洩などは起こりえない、という考えは危険だ」。組み込み機器やネットワークに関するセキュリティ・コンサルティングを手掛ける米パッチ・アドバイザのジェフリー・フェイ社長は、こう警鐘を鳴らす(写真)。「日本で利用者が増え始めている、携帯電話を使った電子マネーも例外ではない」。

 フェイ社長によると、ICカードから情報を盗み出す手法はいくつもあるという。「例えば、暗号鍵を使ってデータを暗号化するICの特定の個所にレーザーを当てるとエラーを起こす性質を利用して、暗号化する前のデータを突き止める手法がそうだ。ほかにも、電圧や電磁波を利用する手法などがある」。

 さらに、「日本では、EdyやSuicaといった、ICカード型の電子マネーが広く使われている。最近では、電子マネー機能を搭載した携帯電話も登場し、普及の兆しを見せている。もし脆弱性が発見されれば、膨大な数のICカードや携帯電話を修理・交換しなくてはならなくなる」と、注意を促す。「各携帯電話メーカーが製造時にセキュリティの観点からテストを十分こなす必要がある。その上で、コンビニエンス・ストアのレジ端末も含めた、システム全体の脆弱性テストを実施すべきだ」。