「ICタグのセキュリティ対策とは」■第2回■

物流の効率化やトレーサビリティの確立に効果があることから、さまざまな品物への装着が進められているICタグ。急速な普及の陰で、問題視されているのがセキュリティ対策やプライバシーだ。たとえば、購入した品物に取り付けられていたICタグが、気づかないうちにさまざまな場所で読み取られ、その人の行動が追跡されてしまうといった危険性さえある。

ユビキタス社会を実現する基盤技術だけに、何よりも強く求められるのはその安全性と信頼性の確保だ。そんな中、「ICタグのセキュリティとプライバシーを議論する」と題するシンポジウムが開催された。技術的な課題は何か、法律面の整備はどこまで進んでいるのか。レポートする。

●ICタグとICカードの違いは明確にすべき
　個人の識別にICタグを利用することの危険性

今回のシンポジウムの中で、ICタグやICカードの「セキュリティの確保」という視点で鋭い指摘をしたのが産業技術総合研究所・グリッド研究センターセキュアプログラミングチームでチーム長を務める高木浩光氏だった。

高木氏は、まず、ICタグやICカードのセキュリティを議論する大前提として「ICタグとICカードを厳密に分けて考えなくてはならない」とした。現在ではICタグにもさまざまな情報が書き込まれ、たとえばスーパーで食材に付けられたICタグを読み取り装置にかざすと農法や生産地の情報、レシピなどが表示されるシステムが実験的に導入されている。このようなICタグの高度利用にともない「一般の利用者からも、ICタグはもうICカードと同じように利用できるのではないかと『危険な勘違い』ともいえる意見が聞こえる。ICカードは人間が『自分の意思』で読み取り装置にかざすなどして『人の識別』に利用されるもの。一方、ICタグは単なるモノの識別に利用される」と本質的な違いを明確にした。

その上で、「最も大きな違いは、通常、ICカードにはセキュリティ機能があるがICタグにはない。つまり、ICタグは安全ではない」と強調。ICタグの内部に書き込まれている情報が傍受されたり盗み見られたりする危険性があることを理解し、技術者もメーカーもサービスを提供する事業者も正しく一般の利用者にアナウンスすることの必要性を語った。

高木氏は、RFIDデバイスの設計に携わる技術者からの意見として、「RFIDタグ（ICタグ）を人に使うのは誤り」「ICタグには簡単なハッシュ関数によるセキュリティ機能くらいしか搭載できず、ICカードのように対策をすることは無理」といったコメントを紹介。RFIDデバイスの技術者にしてみれば、ICタグの脆弱性などは最初から明白な事実であり、本来、ICカードとは使用目的が異なることはわかりきったことである。それにもかかわらず、「この2年間に少なくとも4社の技術者から同様の意見をヒアリングした。ところが最近になってICタグをICカードと同じように『個人の識別に使おう』とする動きが見られている。これは非常に危険な徴候である」と語った。

【執筆：下玉利尚明】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd