世界中の銀行で採用されているセキュリティ・システムが破られる（英国）

　ケンブリッジ大学の研究者Michael Bond 氏とRichard Clayton 氏は、PIN （個人識別番号：銀行などがATM 用に顧客に付与する暗証番号）の保護機能として銀行などに広く採用されているシステムに脆弱性を発見した。2人は、悪意ある銀行員がその脆弱性を使って顧客の口座

国際海外情報

2001.11.22 Thu 12:00

　ケンブリッジ大学の研究者Michael Bond 氏とRichard Clayton 氏は、PIN （個人識別番号：銀行などがATM 用に顧客に付与する暗証番号）の保護機能として銀行などに広く採用されているシステムに脆弱性を発見した。2人は、悪意ある銀行員がその脆弱性を使って顧客の口座を悪用する恐れがあると警告している。

　脆弱性が指摘されたセキュリティシステムは、IBM 4758 暗号コプロセッサで、世界中の銀行そして軍や政府機関が各々のネットワークを保護するために使用されている。両研究者は、その脆弱性を利用すると暗号鍵へのアクセスもしくはデータのロック解除に必要とされる鍵のヒントを得ることができると説明する。通常、暗号鍵には無数の組み合わせがあり、それを破ることはほぼ不可能か、もしくは膨大な時間がかかる。IBM 4758 暗号コプロセッサは、DES（データ暗号規格）を使ってデータにスクランブルをかけている。適切にDESを実装した場合、データは十分に保護される。

　Clayton 氏が開発したハードウェアでは、一秒間に3300万種の鍵を試すことができる。すなわちDES 鍵で暗号化されたデータを復号化するのに約70年の歳月を要することになる。しかし、Bond 氏が開発したプログラムを使ってヒントを入手した場合、クラッキングにかかる時間を24時間に短縮することができるという。Bond 氏は「現在、セキュリティに取り組む銀行側の姿勢は、非常に排他的だ。しかも、彼らは時代遅れの概念に依存している。銀行は、学究的な世界を含むオープン・コミュニティにもっと関心を払い、自身が使用しているシステムに関し専門家の意見にもっと耳を傾けるべきだ」と提言した。また、今回の脆弱性の発見をIBM 社に伝えたが、同社から満足のいく回答はまだ得られてないという。