決済カード業界の一部は、リレー攻撃を防御するために設計された新しい非接触型決済カードのセキュリティ機能を導入しました。
リレー攻撃は9年前、コンピューター科学者のサール・ドリマー氏とスティーブン・マードック氏のチームによって初めて実証された。
2人はまた、距離制限と呼ばれる技術を使ってセキュリティ上の欠陥を軽減する方法も提案した。マスターカードはこの防御策を採用しており、同社のカードは(少なくとも)保護されている。
「ようやく銀行もこの防御策を導入し始めたが、対象は非接触型カードのみ(2007年に利用可能だった接触型チップ・暗証番号カードよりも脆弱であるため)、これまでのところマスターカードのみだ」とマードック氏はエル・レグ紙に語った。
マードック氏は、リレー攻撃は事実だが、セキュリティ上の弱点に基づく詐欺が実際に行われたかどうかは不明だと述べている。
「学術的な実験以外で、確認された事例は知りません。しかし、これが大規模な不正行為でない限り、たとえ実際に起こったとしても、私はそのことを知らなかったと思います」とマードック氏は説明した。
「私や同僚の銀行の顧客から、ICチップと暗証番号を使った取引の払い戻しを拒否されたという相談が来ました。実際には行われていないと主張しています。こうしたケースの中にはリレーアタックによるものもあったかもしれませんが、ほとんどの場合、何が起きたのかは特定されていません。」
「銀行はリレーアタックの可能性は低いとの立場を取っており、銀行が顧客に返金するかどうかの決定は最も可能性の高い説明に基づいているため、銀行は常に別のシナリオ(通常は顧客の過失)を最も可能性の高いものとして提示している」と彼は付け加えた。
マードック氏は、EMVCo の仕様を定期的に確認し、この変更に気づいたため、マスターカードがリレー攻撃に対する防御策を講じたことを初めて知りました。
「この新機能は秘密ではないものの、マスターカードが注目しているとは思えません」と彼は説明した。「マスターカードの仕様が公開された今、他のカード会社も対応を検討しているはずですが、決定の兆しは見当たりません。」
セキュリティ研究者は、ロンドン大学ユニバーシティ・カレッジの情報セキュリティ・グループの「Bentham's Gaze」ブログに、Mastercard の動きとリレー攻撃全般に関する記事を寄稿しており、こちらからご覧いただけます。
バトンを渡す:リレー攻撃 [出典:UCLブログ投稿]
