セキュリティ・カードの安全性と論文発表

おそらく、この話はもう新聞で報道されているので、ここに書いても問題はないだろうと思います(何かありましたら、ご連絡をお願いします)。オランダで、公共交通用電子カードの安全性に重大な欠陥があることを証明した論文について、オランダ政府の国務長官が発表の差し止めを要請したそうです。

オランダ・Radboud 大学(ナイメーヘン)の Bart Jacobs と言えば、"Categorical logic and Type theory" isbn:0444508538 で有名な計算機科学者ですが、最近は情報セキュリティの分野でも活躍しています。彼が率いるナイメーヘンのグループが検証しようとしたのは、オランダ版 Suica こと OV-chip card(公共交通用電子カード)。これは、ロンドン地下鉄オイスター・カードや香港の地下鉄カードのシステムと本質的には同じで、2007年から実証実験が始まり、2008年に本格導入のはずでした。このカードは、以下の3種類に分類されます。

  • Disposable non-reloadable card : for incidental use,
  • Personal, reloadable card, with possible discounts,
  • Anonymous, reloadable, without discounts,

そして、Parsonalカードのみが情報が暗号化されています。これは、Mifare Classicという非接触ICカード技術の規格(フィリップスによって開発された)の発展型です。くわしくはwikipedia:MIFAREをご覧ください。

2007年12月、Nohl と Plötz のドイツ人二人組が、Mifare Classicのハードウェアを使用したハッキングに成功しました。ただし、暗号化アルゴリズムの解読に成功した訳ではありません。ナイメーヘン大学のグループは今年3月に、暗号化に使用されていたCrypt01アルゴリズムを完全に解読しました(暗号解読の手法によってです)。さらに、その意味論を定理証明系 PVSへ実装しています。また、ノートPCとアンテナを組み合わせて、驚くほど簡単にセキュリティー・カードのクローンが出来ることをデモンストレーションしています。このセキュリティ・カードは、Mifareを使用している swipe access card というもので、オランダ中の政府公共機関の建物で使用されているそうです。

このビデオは、ナイメーヘン大学作成ですが、

  • 他人のセキュリティ・カードを簡単な自作アンテナセットでスキミングすることができ(すれ違うときにカードを持つ人にアンテナを遠くからかざすだけで十分)、
  • それをノートPCで簡単に解析してセキュリティ・カードの個人情報を特定することが可能で、
  • さらにその情報は簡単にブランクICカードにコピーをすることが可能で、それによってセキュリティ・カードの不法クローンを簡単に作成できます。

イメージとしては、ここの絵とかも参考になります。
そして、3月末にはOV-chip parsonal cardそのもののハッキングし、その成果を公表しました。
OV-chipはロンドン地下鉄オイスター・カードと本質的には同じ(同じMifare classicsを使用している)であり、OV-chipsのクローンが可能ならば、当然オイスター・カードもクローン可能なはずです。という訳で、6月に彼らはロンドンの地下鉄でただ乗りデモンストレーションを敢行したそうです。wikipedia:オイスターカードの発行枚数は1700万枚だそうで、そのカードがクローン可能とは大変な話です。

さて、Mifareのセキュリティ・カードに話を限っても、オランダだけで12万枚が政府機関ビルのセキュリティのために使われています(ちなみに、一枚あたり €5かかるそうです)。スマートカード全体を考えると、イギリスでは毎年1000万枚の Mifare カードが発行されているとか。ですので、それが簡単にスキミングされれば、大変なことになります。オランダ内務大臣スポークスマンは「これは国家安全保障の問題だ」と言明し、そして今回、国務長官は「大学は社会的責任というものを学ぶべきだ」とのたまい、大学に論文を発行しないように要請するという事態にまで至ったそうです。
さて、Jacobs教授は、6月中頃(?)から日本にいて、月曜から京大の数理解析研究所で開催される予定の研究集会でこの話をする予定でした。が、内閣レベルの話になってしまったため、対応協議のため急遽帰国することになってしまいました(残念)。論文問題がどうなるか分かりませんが、前述の記事でJacobs教授のメモが紹介されていました。そこでは

  • "A mathematical analysis is not the same thing as writing attack code, ... It requires a lot of expert work to transform the analysis from the paper into a working device for performing attacks on card installations."(数学的な解析は、コードに対する不法な攻撃とは違う。・・・論文中の解析を、ちゃんと動くカード攻撃用の機器に変えるのには、たくさんの専門的な仕事が必要だ)。
  • "Killing the messenger does not solve the problem, ... This paper serves the interest of our society. The problems are real and should be addressed on the basis of sound and well-informed judgment." (悪い知らせを届けに来た使者を殺しても、問題の解決にはならない。この論文の発行は社会の利益に奉仕する。この問題は現実の問題であり、健全で十分に情報を得られた基盤の上で判断されるべきだ

と述べていたそうです。

科学者が驚異の発見、国家安全保障上の脅威、パニックを起こす政府、なんて一昔前の核兵器もののB級SF映画のようですが。
私個人としては、論文は発表されるべきだと思います。核兵器の場合の例で言うと、核兵器についての最大の軍事機密とは「ウランから核兵器を作ることが可能であること」である、と言われています。もちろんウラン235の入手やら精製法やら何やら、難しい問題はたくさんありますが、国レベルで本気を出せば解決できる問題です。今回の場合、すでにOV-chipのハッキングが可能であることが明らかになってしまいました。教授自身、すでに、他のグループが、このニュースを聞きつけ、ハッキング・ツールを開発し、ネットでばらまき始めている可能性が高いことを指摘しています。つまり、もう手遅れであり、今更論文を出す・出さないことを問題視するというのは、本質を見失ったことではないでしょうか。そうである以上、この論文を刊行することで、安全保障上の脅威に関する正しい知識を世に広める方が得策ではないかと思います。
っていうか、そんなことを論じているよりは、政府はさっさとセキュリティ・カードの新規格の導入計画を練るべきでしょう。

最後にもう一つ。FeliCaは、いろいろ噂は絶えませんが、大丈夫なんでしょうか。

(参考文献)
今回のこのエントリーは、彼の講演スライドおよびグループwikiの技術情報に基づいています。技術的な点に関して、非常に自信がないので、間違いなどを発見された方は、ぜひご連絡ください。

(追記1)
Jacobs教授の自己紹介、講演のスライドでは

Apart from academic abstract nonsense, involved in e-government / identity managment, like biometric passports, voting, OV-chip

だそうで(圏論の人の自虐ネタっすか)。

(追記2)
通りすがりさんのコメントに基づき、アホな間違いを一カ所修正。