非接触型ICカード技術 FeliCa を搭載したNTTドコモのおサイフケータイが人気です。累計出荷台数は100万台を超えました。さらに2005年(平成17年)冬から、店舗が発信する情報をキャッチできるサービス「トルカ」がはじまりました。たいへん便利な機能ですが、果たして個人情報は守られているのでしょうか。
おサイフケータイが持つのは現金情報のみ
おサイフケータイで支払を行うとき、店に置いてあるリーダとの間でやり取りするのは現金情報だけです。
ビックカメラのようにポイントを扱うケースでは、ID番号だけをやり取りします。おサイフケータイ側には、ポイントの残高すら記録されません。
個人情報を持っていないのだから、個人情報が漏洩することはあり得ない――というのがおサイフケータイのウリです。
ビックカメラのようにポイントを扱うケースでは、ID番号だけをやり取りします。おサイフケータイ側には、ポイントの残高すら記録されません。
個人情報を持っていないのだから、個人情報が漏洩することはあり得ない――というのがおサイフケータイのウリです。
識別IDの存在
FeliCa は、その1つ1つに固有な識別IDが付いています。これは、FeliCa を用いたサービスを提供する企業が顧客のニーズに応じたサービスを提供できるような場面を想定して設けられたそうです。
たとえばam/pmの club ap(2010年6月募集終了)では、おサイフケータイの利用者に会員情報を登録させ、識別IDと会員情報を結びつけています。どんな商品をいつ購入したかといった情報をclub ap側でデータベース化し、その会員の好みに即したキャンペーン情報などをメールで送信する仕組みです。
もちろん club ap の場合、会員登録時に、登録した個人情報の利用目的を承諾する仕組みになっているので、ルール上、何の問題もありません。
しかし、この情報が漏れた場合、識別IDをキーにして、さまざまな個人情報が漏洩する危険があります。
たとえばam/pmの club ap(2010年6月募集終了)では、おサイフケータイの利用者に会員情報を登録させ、識別IDと会員情報を結びつけています。どんな商品をいつ購入したかといった情報をclub ap側でデータベース化し、その会員の好みに即したキャンペーン情報などをメールで送信する仕組みです。
もちろん club ap の場合、会員登録時に、登録した個人情報の利用目的を承諾する仕組みになっているので、ルール上、何の問題もありません。
しかし、この情報が漏れた場合、識別IDをキーにして、さまざまな個人情報が漏洩する危険があります。
識別IDから漏洩する情報
識別IDが漏れてしまった場合、いつ、どの店で、どんな買い物をしたか、すべてキャッチすることが可能になります。
識別IDそのものは、FeliCa リーダと簡単なプログラムがあれば読み取ることができます。
また、そのおサイフケータイに入っているメールアドレス、電話帳、写真データなどと紐づけることによって、あなたの生活をさらに詳しく分析することが可能になります。おサイフケータイのチャージにクレジットカード番号を登録している場合は、カード番号を盗まれる危険性もあります。
2006年(平成18年)12月現在、トルカのサービスを提供する企業は約40あり、その多くは、会員登録をすることで優待サービスが受けられるというものです。たとえ会員登録先の企業が有名な企業であっても、個人情報が漏れるという事件は、過去に何度もありました。トルカだけ絶対安全という保証はありません。
識別IDそのものは、FeliCa リーダと簡単なプログラムがあれば読み取ることができます。
また、そのおサイフケータイに入っているメールアドレス、電話帳、写真データなどと紐づけることによって、あなたの生活をさらに詳しく分析することが可能になります。おサイフケータイのチャージにクレジットカード番号を登録している場合は、カード番号を盗まれる危険性もあります。
2006年(平成18年)12月現在、トルカのサービスを提供する企業は約40あり、その多くは、会員登録をすることで優待サービスが受けられるというものです。たとえ会員登録先の企業が有名な企業であっても、個人情報が漏れるという事件は、過去に何度もありました。トルカだけ絶対安全という保証はありません。
おサイフケータイのセキュリティに不安
ネプロジャパンとネプロアイティが「おサイフケータイのセキュリティに関する調査」を行ったところ、「特に考えたこともない」が35%だが、「不安」が32%、「非常に不安」が20%と、不安を感じている人の割合は高く、「安心」という回答は1%にすぎませんでした。
具体的な防衛対策については、「していない/何をしたらいいか分からない」が30%、「していない/特に問題を感じていない」が18%が上位を占めました。
具体的な防衛対策については、「していない/何をしたらいいか分からない」が30%、「していない/特に問題を感じていない」が18%が上位を占めました。
FeliCaの暗号が破られた!?
FeliCa は共通鍵暗号方式を用いています。共通鍵暗号方式は、コストや暗号解読時間を短くできるというメリットがある一方で、専用リーダーが解析されてしまうと、システム全体が丸裸にされてしまうデメリットがあります。
月刊「FACTA」によると、2006年(平成18年)秋頃、この共通鍵が解読された可能性が高いといいます。現在、IPAが事実確認を行っているようです。
一方、ITmediaによれば、ソニーはこの記事の内容を全面的に否定しているそうです。一方、2ちゃんねるの投稿によれば、FeliCaの内部資料が Winny ネットワークに流失したようです。暗号に関する技術情報は無かったとか、重要なファイルにはパスワードがかかっているなど、さまざまな情報が乱れ飛んでいます。
また、あきば.comによると、「サービス鍵情報ファイル作成ツール_プログラム仕様書.doc」や「鍵管理台帳.xls」などのファイルがあったといいます。電子マネーの根幹を揺さぶる問題であるだけに、情報の真偽について、公的な見解が出ることを期待します。
月刊「FACTA」によると、2006年(平成18年)秋頃、この共通鍵が解読された可能性が高いといいます。現在、IPAが事実確認を行っているようです。
一方、ITmediaによれば、ソニーはこの記事の内容を全面的に否定しているそうです。一方、2ちゃんねるの投稿によれば、FeliCaの内部資料が Winny ネットワークに流失したようです。暗号に関する技術情報は無かったとか、重要なファイルにはパスワードがかかっているなど、さまざまな情報が乱れ飛んでいます。
また、あきば.comによると、「サービス鍵情報ファイル作成ツール_プログラム仕様書.doc」や「鍵管理台帳.xls」などのファイルがあったといいます。電子マネーの根幹を揺さぶる問題であるだけに、情報の真偽について、公的な見解が出ることを期待します。
対策は
こういったトラブルを防ぐ抜本的な対策は、FeliCa サービスを使った会員登録をしないことです。では、会員登録をしている場合はどうするかというと――。
まず、ケータイの内部データが盗まれないように、ケータイは肌身離さず持っていなければなりません。パソコンとケーブルさえあれば、ケータイから目を離した数分の隙に、ケータイの内部情報をすべて吸い上げ、何事もなかったかのように元に戻しておくことができるからです。
また、これから増えてくるであろうケータイ向けウイルスやスパイウェアに感染しないよう、細心の注意を払う必要があります。
まず、ケータイの内部データが盗まれないように、ケータイは肌身離さず持っていなければなりません。パソコンとケーブルさえあれば、ケータイから目を離した数分の隙に、ケータイの内部情報をすべて吸い上げ、何事もなかったかのように元に戻しておくことができるからです。
また、これから増えてくるであろうケータイ向けウイルスやスパイウェアに感染しないよう、細心の注意を払う必要があります。
参考サイト
- FeliCa公式サイト:SONY
- RFIDを使ってみよう
- ソニー 暗号破られた「電子マネー」:FACTA
- FeliCaの暗号が破られた?――ソニーは完全否定:ITmedia
- おサイフケータイのセキュリティ、約半数が「不安を感じる」:ITmedia Mobile,2008年02月01日
(この項おわり)
