非接触型 IC カード技術 FeliCa を搭載した NTT ドコモのおサイフケータイが人気です。累計出荷台数は 100 万台を超えました。さらに 2005 年(平成 17 年)冬から、店舗が発信する情報をキャッチできるサービス「トルカ」がはじまりました。たいへん便利な機能ですが、果たして個人情報は守られているのでしょうか。
おサイフケータイが持つのは現金情報のみ
おサイフケータイで支払を行うとき、店に置いてあるリーダとの間でやり取りするのは現金情報だけです。
ビックカメラのようにポイントを扱うケースでは、ID番号だけをやり取りします。おサイフケータイ側には、ポイントの残高すら記録されません。
個人情報を持っていないのだから、個人情報が漏洩することはあり得ない――というのがおサイフケータイのウリです。
ビックカメラのようにポイントを扱うケースでは、ID番号だけをやり取りします。おサイフケータイ側には、ポイントの残高すら記録されません。
個人情報を持っていないのだから、個人情報が漏洩することはあり得ない――というのがおサイフケータイのウリです。
識別IDの存在
FeliCa は、その 1 つ 1 つに固有な識別 ID が付いています。これは、FeliCa を用いたサービスを提供する企業が顧客のニーズに応じたサービスを提供できるような場面を想定して設けられたそうです。
たとえば am/pm の club ap(2010 年 6 月募集終了)では、おサイフケータイの利用者に会員情報を登録させ、識別 ID と会員情報を結びつけています。どんな商品をいつ購入したかといった情報を club ap 側でデータベース化し、その会員の好みに即したキャンペーン情報などをメールで送信する仕組みです。
もちろん club ap の場合、会員登録時に、登録した個人情報の利用目的を承諾する仕組みになっているので、ルール上、何の問題もありません。
しかし、この情報が漏れた場合、識別 ID をキーにして、さまざまな個人情報が漏洩する危険があります。
たとえば am/pm の club ap(2010 年 6 月募集終了)では、おサイフケータイの利用者に会員情報を登録させ、識別 ID と会員情報を結びつけています。どんな商品をいつ購入したかといった情報を club ap 側でデータベース化し、その会員の好みに即したキャンペーン情報などをメールで送信する仕組みです。
もちろん club ap の場合、会員登録時に、登録した個人情報の利用目的を承諾する仕組みになっているので、ルール上、何の問題もありません。
しかし、この情報が漏れた場合、識別 ID をキーにして、さまざまな個人情報が漏洩する危険があります。
識別IDから漏洩する情報
識別 ID が漏れてしまった場合、いつ、どの店で、どんな買い物をしたか、すべてキャッチすることが可能になります。
識別 ID そのものは、FeliCa リーダと簡単なプログラムがあれば読み取ることができます。
また、そのおサイフケータイに入っているメールアドレス、電話帳、写真データなどと紐づけることによって、あなたの生活をさらに詳しく分析することが可能になります。おサイフケータイのチャージにクレジットカード番号を登録している場合は、カード番号を盗まれる危険性もあります。
2006 年(平成 18 年)12 月現在、トルカのサービスを提供する企業は約 40 あり、その多くは、会員登録をすることで優待サービスが受けられるというものです。たとえ会員登録先の企業が有名な企業であっても、個人情報が漏れるという事件は、過去に何度もありました。トルカだけ絶対安全という保証はありません。
識別 ID そのものは、FeliCa リーダと簡単なプログラムがあれば読み取ることができます。
また、そのおサイフケータイに入っているメールアドレス、電話帳、写真データなどと紐づけることによって、あなたの生活をさらに詳しく分析することが可能になります。おサイフケータイのチャージにクレジットカード番号を登録している場合は、カード番号を盗まれる危険性もあります。
2006 年(平成 18 年)12 月現在、トルカのサービスを提供する企業は約 40 あり、その多くは、会員登録をすることで優待サービスが受けられるというものです。たとえ会員登録先の企業が有名な企業であっても、個人情報が漏れるという事件は、過去に何度もありました。トルカだけ絶対安全という保証はありません。
おサイフケータイのセキュリティに不安
ネプロジャパンとネプロアイティが「おサイフケータイのセキュリティに関する調査」を行ったところ、「特に考えたこともない」が 35%だが、「不安」が 32%、「非常に不安」が 20%と、不安を感じている人の割合は高く、「安心」という回答は 1%にすぎませんでした。
具体的な防衛対策については、「していない/何をしたらいいか分からない」が 30%、「していない/特に問題を感じていない」が 18%が上位を占めました。
具体的な防衛対策については、「していない/何をしたらいいか分からない」が 30%、「していない/特に問題を感じていない」が 18%が上位を占めました。
FeliCaの暗号が破られた!?
FeliCa は共通鍵暗号方式を用いています。共通鍵暗号方式は、コストや暗号解読時間を短くできるというメリットがある一方で、専用リーダーが解析されてしまうと、システム全体が丸裸にされてしまうデメリットがあります。
月刊「FACTA」によると、2006 年(平成 18 年)秋頃、この共通鍵が解読された可能性が高いといいます。現在、IPAが事実確認を行っているようです。
一方、ITmedia によれば、ソニーはこの記事の内容を全面的に否定しているそうです。一方、2ちゃんねるの投稿によれば、FeliCa の内部資料が Winny ネットワークに流失したようです。暗号に関する技術情報は無かったとか、重要なファイルにはパスワードがかかっているなど、さまざまな情報が乱れ飛んでいます。
また、あきば.com によると、「サービス鍵情報ファイル作成ツール_プログラム仕様書.doc」や「鍵管理台帳.xls」などのファイルがあったといいます。電子マネーの根幹を揺さぶる問題であるだけに、情報の真偽について、公的な見解が出ることを期待します。
月刊「FACTA」によると、2006 年(平成 18 年)秋頃、この共通鍵が解読された可能性が高いといいます。現在、IPAが事実確認を行っているようです。
一方、ITmedia によれば、ソニーはこの記事の内容を全面的に否定しているそうです。一方、2ちゃんねるの投稿によれば、FeliCa の内部資料が Winny ネットワークに流失したようです。暗号に関する技術情報は無かったとか、重要なファイルにはパスワードがかかっているなど、さまざまな情報が乱れ飛んでいます。
また、あきば.com によると、「サービス鍵情報ファイル作成ツール_プログラム仕様書.doc」や「鍵管理台帳.xls」などのファイルがあったといいます。電子マネーの根幹を揺さぶる問題であるだけに、情報の真偽について、公的な見解が出ることを期待します。
対策は
こういったトラブルを防ぐ抜本的な対策は、FeliCa サービスを使った会員登録をしないことです。では、会員登録をしている場合はどうするかというと――。
まず、ケータイの内部データが盗まれないように、ケータイは肌身離さず持っていなければなりません。パソコンとケーブルさえあれば、ケータイから目を離した数分の隙に、ケータイの内部情報をすべて吸い上げ、何事もなかったかのように元に戻しておくことができるからです。
また、これから増えてくるであろうケータイ向けウイルスやスパイウェアに感染しないよう、細心の注意を払う必要があります。
まず、ケータイの内部データが盗まれないように、ケータイは肌身離さず持っていなければなりません。パソコンとケーブルさえあれば、ケータイから目を離した数分の隙に、ケータイの内部情報をすべて吸い上げ、何事もなかったかのように元に戻しておくことができるからです。
また、これから増えてくるであろうケータイ向けウイルスやスパイウェアに感染しないよう、細心の注意を払う必要があります。
参考サイト
- おサイフケータイに新機能「トルカ」を追加:NTT ドコモ
- FeliCa 公式サイト:SONY
- RFID を使ってみよう
- ソニー 暗号破られた「電子マネー」:FACTA
- FeliCa の暗号が破られた?――ソニーは完全否定:ITmedia
- おサイフケータイのセキュリティ、約半数が「不安を感じる」:ITmedia Mobile,2008 年 02 月 01 日
(この項おわり)
