Apple PayのVISA対応等、急速にコンタクトレス決済(RFID決済)が広まっているので、啓蒙活動としてRFIDブロックの意味のなさを紹介したいと思います。
本記事は↓の内容で構成されております。
- RFIDを盗むためにはかなり接近する必要がある
- 盗んでもそれを使って決済することはできない
- 暗号化されていないRFIDは運用に注意が必要
- 上手く使うと生活が便利になるかも?
- 結論:RFIDブロックかどうかを気にせず好きな財布を買おう!
そもそもRFIDとは
Radio Frequency IDentifierの頭文字を取ったもので、ID情報(特定する情報)を埋め込んだチップと読み取り機器が通信することによって情報をやり取りするものです。非接触ICカードは広義のRFIDに含まれ、Suicaなどの交通系ICカードに搭載されているFeliCaや、無人レジを可能にしているタグやクレジットカードに搭載されているNFCは全てRFIDの中の技術です。先日紹介したEVERINGもNFCですのでRFID技術を使った商品です。
まだまだ様々な方面に活用されることが期待されており、既に我々の日常生活でも多用されているこの技術ですが、一部では「無線通信が可能になったことで知らない間にクレジットカードやパスポート等の重要情報を盗まれて危ない!」という意見が見られます。次項から「いかにRFIDスキミングすることが難しいか、盗んだ情報を悪用することが非現実的であるか」について紹介していきます。
RFIDブロックすることの空虚さ
RFIDを盗むことは大変
コンビニ等で非接触決済をしたことがある方はお分かりでしょうが、数センチの距離まで近づかないとRFIDを読み取ることはできません。鍵や硬貨などちょっとした金属が間に挟まるだけで、たちまち読み取り不良を起こしてしまいます。犯罪者が大掛かりな道具を持たずに読み取るためには、かなり接近する必要がありハイリスクです。
確かに、100mを超えた距離から電波を飛ばしてRFIDを盗もうとすることは可能です。しかしながら、大規模で高価なマシンが必要であるため現実的に運用するのは困難です。
仮に盗めても意味がない
そして最も重要なポイントは、犯罪者が頑張って情報を盗んだとしてもそれは全く意味のないものであるということです。クレジットカードに搭載されているチップが行う通信はEMV規格で保護されています。
決済端末から通信リクエストを受けるとカードに搭載されているチップはワンタイムキーを生成します。そしてそのワイタイムキーを相互に認証することによって決済が行われ、決済が終わるとワンタイムキーは役目を終えます。犯罪者が傍受できる情報はこの一度きりのワンタイムキーですが、これらは使い回されることがありませんので自らの決済に悪用することはできません。
犯罪者が有効な決済機器を持っていたら悪用できるけど・・・
決済会社と契約している端末を犯罪者が保持していて勝手に決済されたとしても、犯罪者が契約している相手はカード会社や金融機関であるので対象の取引を簡単に追跡することができます。加盟店審査はクレジットカードの審査よりも厳格で、本人確認や事業内容の精査がきちんとなされます。仮にその審査を通り抜けたとしても、売上を現金化して送金するのは現実的ではありませんし直ぐにお縄になるでしょう。
犯罪者からしたらRFIDスキミングは割に合わない
もっと低いコストとリスクで大きなリターンを生む犯罪が数多くある中、わざわざハイリスクローリターンなRFIDスキミングを行うメリットは現実的に皆無です。
RFIDブロックの有効活用方法
暗号化されていないRFIDカードには要注意
クレジットカードに搭載されているRFIDは暗号化と相互認証のセキュリティにより安全が担保されていることを紹介しましたが、一部のRFIDは全くの暗号化されていないものがあります。
例えば古いタイプのオフィス入場カードなどです。これらの情報を読み取ってコピーすることが可能ですので、こういったセキュリティレベルの低いカードを持っている方は、RFIDブロックカード等と一緒に持ち歩くことを推奨します。
(余談)マイナンバーカード・パスポート・免許証といった身分証明書にも非接触ICチップが搭載されていますが、暗証番号の入力と公開鍵の認証が必要ですので基本的に心配する必要はありません。また、保存されている情報は券面に記載されている情報と大差がなく、これらの身分証明書は顔写真と本人の容貌を照合することで運用されることを大前提としているので、悪用される心配もないと言えます。仮に偽造カードを作れたとしても、なりすますことは現実的に困難です。
2種類のRFIDカードを使い分けたい時には有用(干渉防止)
SuicaとPASMOなどの同じ周波数を使うRFIDカード複数枚を同じケースに入れていると、読み取り機はどっちを読み取れば良いのかわからずにエラーを出すことがあります。こういったエラーを防ぐにはRFIDブロックカードを2枚のカードに挟んだり、使わない方をRFIDブロックケースの中に収納すると上手くいきます。
RFIDブロックカード以外にもICカードセパレーターという名前で売られていたりします。こちらは両面使えるタイプですので、2枚の交通系ICを表と裏で使えるようにする商品です。(最近はApple PayにPASMOも対応しましたし物理カードを使う場面が減っている気がしますが)
ちなみにラグジュアリーカードなどの金属製のクレジットカードも同じ働きをしてくれるので、Suicaの真下にラグジュアリーカードを入れておくと綺麗にSuicaだけに反応してくれます。
まとめ
実際のところRFID通信を傍受されて犯罪に用いられたケースというのは報告されておらず、理論的に盗聴ができるというだけの話です。もっとも盗聴できたからといって決済できませんが・・・。仮に犯罪者側の技術が進歩して上手く決済できるようになったとしても、非接触決済では10,000円までしか決済できないなどの複数の対策が実施されていますし、そもそもクレジットカードは不正利用されても補償されるので、現実に我々に大きな問題が起きるリスクはほぼゼロです。
クレジットカードの不正利用で最も多いのはWEB上の犯罪です。不正利用されたくないのであれば、通販サイトにクレジットカード情報を保存しないようにする、パスワードを使い回さない等の基本的な対策が一番です。そして、明細を定期的にチェックして不正利用がないかどうかを確認しましょう。(ほとんどのカード会社では不正利用後90日間が補償期限ですので)
結局の所、RFIDブロックの重要性を謳うのは一種のマーケティング活動で、自社製品を売りたいがために恐怖を煽っているだけの側面があります。RFIDスキミングを過剰に恐れる必要はありませんので、好みのデザインの財布を選びましょう。どうしても気になるようであれば、RFIDブロックカードを1枚財布に入れるだけで十分です。また、RFIDブロックを謳っていなくても金属で作られているケースは電波や磁気を通さないので、RFIDブロックの効果を発揮することも知っておくと良いでしょう。最後までお読み頂きありがとうございました。