非接触ICカードを非接触で「毎秒15枚」コピーできるというデバイス 43
ストーリー by hylom
暗号もすでにクラックされているのだろうか 部門より
暗号もすでにクラックされているのだろうか 部門より
taraiok曰く、
「The CC Buddies」と呼ばれる犯罪者グループが、非接触ICカードの情報を8cmほどまで近づけばコピーできるというツール「X5」を販売しているという(SOFTPEDIA、Slashdot)。
X5はRFIDを採用した非接触ICカードからデータを抜き出せるツールで、「毎秒15枚ペース」でカードのコピーを作成できるという。バッテリー駆動が可能であるため、コンサートや混雑した地下鉄などで悪用された場合影響が大きいと見られる。デビットカードなどを不正にコピーして金銭を引き出す、という使い方が想定されているようだ。
価格は1.2Bitcoin(約800ドル)でX5デバイス本体、充電機器やデータ転送用USBケーブル、および20枚のブランクカードが付属するという。
まあ普通に作れるよね (スコア:2, 参考になる)
これ [amazon.co.jp]と同じものを8万円で売りますっていう話だね
>The device can collect data such as the card's number and expiration date
クレジット/デビットカードのカード番号と有効期限をリーダーから読み取れるっていうのは 当然の話で(でないと取引ができない)、それが読み取られても不正取引ができなかったり 出来ても被害が少なくて済むっていうのがICクレカのうまく出来ているところ
Re: (スコア:0)
?
クレカ系の非接触電子マネーって暗号化なしでカード番号と有効期限は喋ってないはずでは?
するとそれを偽造磁気カードに書き込めばクレカができちゃうじゃん。
固有IDは喋ってるだろうけど
Re: (スコア:0)
ただ、偽造磁気カードを作るのに必要な情報はカード番号と有効期限だけではないので、非接触ICからスキミングした情報では偽造磁気カードや偽造ICカードは作れない。
もちろん、磁気カードをスキミングしたら偽造磁気カードは作れる
前々から (スコア:1, 興味深い)
金融ICカード類はアルミケース内に入れてる俺勝ち組
# Felica/Suica系は入れてないので知らんが、少額しか入れてない
Re: (スコア:0)
スキミング防止グッズとかいろいろ出てるけど、アルミケースとか外部からの読み取り電波を遮断出来るようなのなら大丈夫ですかね?
Re: (スコア:0)
クレカなどのスキミング防止対策を施した財布というものがあって、海外旅行によく行く人なら持ってる人も多いだろう
あれ、交通系ICカードも遮断するから、国内で使うと電車やバス乗り降りするのがクソ面倒くさくなる
>俺勝ち組
Felica/Suica系もってないって、その辺のオバチャンと同じレベルだろ
Re:前々から (スコア:1)
少額入ってるんだから持ってるでしょ。
Re: (スコア:0)
公共交通機関を使わないという「徒歩(かち)組」をtypoったのかもしれないぞ
Re:前々から (スコア:1)
徒歩組は馬廻衆とちがって馬に乗れないわけだから、むしろ公共交通機関を使うはず。
Re:前々から (スコア:1)
やっぱりね (スコア:1)
>>価格は1.2Bitcoin(約800ドル)でX5デバイス本体、充電機器やデータ転送用USBケーブル、および20枚のブランクカードが付属するという。
BCASカードの時も思ったけど
この手の話題は販促だよね。
RFID を使った製品で お金が絡む物ってあるの? (スコア:0)
RFID タグを複製されると、どれくらい困るんだ?
Re: (スコア:0)
SuicaもRFIDカードの一種やで。
ところでタレコミのリンクがSlashdotの方もSOFTPEDIAになってるんだけど。
Re:RFID を使った製品で お金が絡む物ってあるの? (スコア:3, 興味深い)
つまりこの広い地球のどこかには、非接触ICカードながら決済情報を暗号化領域に入れずそのまんま垂れ流しにしている間の抜けたデビットカードが存在してるってこと?
んなわけないと思うけどなあ。知る限りそんなの存在してない。
確かにICカードの非暗号化領域に認証情報書き込んで安心してるような間抜けなセキュリティ機器もあるけど、さすがにそんなデビットカードはないと思うよ。
RFIDのタグ部分を複製されても困らないでしょ。
普通に詐欺商品だと思うけど。Shashdotでも詐欺って話になってる [slashdot.org]ようだぜ。
#タレコミのリンクおかしいね
あと超高速で、かつ遠距離の通信が可能だとか書いてあるけど、カード側が対応してないから無理だと思うんだが、もしカード側の変更をせずにこれだけのスピードと距離を出せる装置を発明したのなら、どちらかというとこの技術をICカード屋に売りに行った方が儲かると思うよ。こんな危ない商売に手を染めなくても。
モザイク除去装置が可能ならその技術を映像復元技術として販売した方が儲かるでしょ、ってのと同じような理屈。
Re:RFID を使った製品で お金が絡む物ってあるの? (スコア:2)
この製品がどうかはさておき、一般論として商品の宣伝文句として考えると、あくまで製品自体の性能を表現したものであって、使用対象の性能は考慮していない、というのはありうるように思います。
例えば、1Gbpsの性能があるというルーターに対して、100Mbpsの回線を繋いだら1Gbpsは出ないのだから「1Gbps」を謳うのはおかしい、とはならないはずで。
Re:RFID を使った製品で お金が絡む物ってあるの? (スコア:1)
世の中には 1000BASE-T (IEEE 802.3ab) 非対応なのに、IEEE 802.11ac 対応のよくわからない無線 LAN ルータがあるらしい。
ただし、ここに出てくるうち、バッファローの WSR-1166DHP2 [buffalo.jp] / WHR-1166DHP3 [buffalo.jp] は WAN のみ 1000BASE-T 対応、LAN は非対応。
詐欺ではないが、非常に詐欺的な製品だと思った。
Re: (スコア:0)
違法ではないが不適切
Re: (スコア:0)
無線同士のスループットが上がるんなら良いんじゃね?
#そういう測定環境ではないみたいだが。
Re: (スコア:0)
http://buffalo.jp/product/wireless-lan/ap/wsr-1166dhp2/#feature-3 [buffalo.jp] ??
Re:RFID を使った製品で お金が絡む物ってあるの? (スコア:1)
Re: (スコア:0)
まぁ、個人の販売店でバーコードでなく、あえてRFIDタグ使ってる所は同じ商品に貼る業務が楽になるかも?
# RFIDプリンター使ってるだろうというツッコミ不可
Re:RFID を使った製品で お金が絡む物ってあるの? (スコア:2)
日本国内で非接触デビットカードを実現するとしたら確実に(ストアドフェアにすら使われてる)FelicaかNFCで通信するICカードになるから、簡単にコピーできるRFIDでは大して困るようなものはないだろう、という意味でしょ。
ICカードは偽造不可能(キリッ (スコア:0)
「CD-ROMで不正コピー撲滅」並みにアホな話だった
Re:ICカードは偽造不可能(キリッ (スコア:3, 参考になる)
何でもごっちゃにすると良くない。非接触ICには簡単にコピーできる奴とそうでない奴がある。
コピーできる奴は、単に自分のIDとかを電波に乗せて送信するだけ。その通りの電波を再現してやれば良いだけなので、コピーできないはずが無い。
角度とか間の障害物とかをあんまり考えなくても、とりあえず近づければ読み取れるという点で画期的で、そういうものとして使い道は多々ある。
コピーできない奴の方は、ざっぱに言うと、「読み取り機がカード内のICに乱数を渡す」
「カード内のICが乱数を受け取り、IC内に最初から書き込まれた秘密の固有パラメータを使ってある種の計算をして、計算結果を返す」
「読み取り機が計算結果を検証して、本物かどうかを確認する」という手順が採られている。
秘密の固有パラメータが分からない限り、カードの動作を模擬する何かを作る事は出来ない。つまりカードのコピーは出来ない。
なので、ICカードの外で何をどう頑張っても、無駄。非接触ICカード以外に、接触型のICカードも同じ仕組み。
非接触ICカードは、上記の計算から返信の送信までを、送信機が発信する電波を受信して得た電力で賄う、変態技術の結晶。
それを読み出す現実的な方法は、カードを削ってICを露出させ、顕微鏡か何かで配線を弄って内部のROMを読み取ると言うようなやり方。
もちろん、削ったらROMが壊れるとか、その手の攻撃に対する対策はてんこ盛りにされているけど、
しょせんは人間が作った物なので裏を絶対にかけないとは言い切れない。
ちなみに、B-CASカードは、上記のコピーできない奴に分類されていたけど、実装がアホで、
「秘密の固有パラメータを教えて」「うんいいよ」となるデバッグ用の機能が付いたままで
市井に出回っていたという重大な欠陥のせいでコピー出来てしまった。
電子マネーとして使われているような非接触ICのシステムに、その手の欠陥が見つかったと言うニュースがあり得ないとは言い切れないけど、
その場合は、こんなしょっぱい記事で紹介されるような話なく、もっと大事になると思われる。
Re: (スコア:0)
>非接触ICカードは、上記の計算から返信の送信までを、送信機が発信する電波を受信して得た電力で賄う、変態技術の結晶。
非接触の給電なんて電動歯ブラシとか昔から使われてるわけでそれ自体が変態技術なんだろうか?
Re: (スコア:0)
それなりのサイズのバッテリーが付いていて、充電時には対象をしっかり把握してからじっくり充電できるタイプの物と、
針の先ほどのサイズのチップが一瞬通過した電界から電力を得て計算結果を返送までする物とでは、技術の変態度合いが数段階違うと思うよ。
Re: (スコア:0)
仕様書読んでないけどかなり弱い無線伝搬の電力で電源ONから500msぐらいで計算結果を返す、というのはかなりの技術力だと思います。
いっぽう去年のネタになりますが、ニコニコ技術部ではこんなのありました
http://www.nicovideo.jp/watch/sm25498517 [nicovideo.jp]
Re:ICカードは偽造不可能(キリッ (スコア:1)
"But because the software we provide has been developed specifically to decrypt bank cards it won’t be able to decrypt any other cards, but we’re working on it and soon it will!!" とか書いてるけど、UIDやIDmをコピーしているだけな気がする。
Re: (スコア:0)
ICチップにセキュリティバグ(例:B-CASカード)が有ったらそりゃそうなるという当たり前の話。
とはいえ、日本の交通系IC系統だと、少額な上にコピーした所でリーダーの先に有るサーバー側のデータを書き換えられる訳じゃないので速攻捕まりますな。
Re: (スコア:0)
> 日本の交通系IC系統だと、少額な上にコピーした所でリーダーの先に有るサーバー側のデータを書き換えられる訳じゃないので速攻捕まりますな。
なんで?
コピーしたなら、サーバー側は使っている相手がコピーが正規のカードかわからんだろう。
盗まれた方も、プリペイドの残高や預金がごっそり減っているのに気づくまで、盗まれたことに気づかないだろう。
Re:ICカードは偽造不可能(キリッ (スコア:1)
シーケンスID的なのが重複してばれたりしないのかな・・・。
Re: (スコア:0)
確実にログが残るからね。
後は通常とは異なるパターンの検出と、監視カメラで
クレカなんかと同じさね
Re: (スコア:0)
クレカと一緒ってことは保険で損害を補償する制度を構築するってこと?
あと,Suicaインターネットサービス [jreast.co.jp]があるから,クレジットと一緒で,カードを無効にしたり,損害を補償はできても,検挙までは難しい/割に合わないからしないじゃないかな。
Re: (スコア:0)
どうやったらそんな風に曲解できるの?
Re: (スコア:0)
「このめがねで服が透けて見えます」並にアホな話ですね
Re: (スコア:0)
情報をコピー出来るとは書いてあるが、偽造できるとは書いてないような。
# タイトルで条件反射(・A・)イクナイ!!
ちょっと前に話題になった (スコア:0)
1枚数万のカードもあるらしいから、カードイラストに興味が無くてゲームで使えれば良いって人には需要があるかも。
#艦これアーケードがRFID方式かどうかは未確認
Re: (スコア:0)
艦これはしらんけど、スマフォにNFCリーダーの機能あるじゃん?
あれで「ピッ」とやってみてデータ吸えればこんな機会無くてもスマフォアプリの知識があれば簡単に偽造できる。
何も出てこなけりゃ暗号化されてるからまず無理だね
実際、暗号化するもしないも製造コストほとんど変わんないから、無理なんじゃね?
Re: (スコア:0)
1枚数万のカードはその絵柄つうかカード自体に価値があるのでそれじゃ意味ねーのよ。コピー品なんてゴミ。
そもそもゲームで使えるキャラ自体が欲しいならもっとずっと安い値段で手に入るからな。
Re: (スコア:0)
RFIDチップってそこまで安いんですか?
昔の『クエストオブD』『アヴァロンの鍵』あたりはカードのふちに紫外線インクで見えないバーコードが印刷してあったらしい。
ググったらセガの資料が出てきた
http://cedec.cesa.or.jp/2009/ssn_archive/pdf/sep2nd/SP19sega.pdf [cesa.or.jp]
Re: (スコア:0)
RFIDのチップがついたシールみたいなもんでよければ、最小ロットでも1枚50円とか
大ロットで買うと5円とかまで下がるはず。