企業における NFC の安全な使用方法

トレンドマイクロは、2012年11月8日、一般ユーザがどのようにして「近距離無線通信(NFC)」を安全に使用することができるかについてお話しました。しかし、企業が自社で NFC を使用することになると、本当に NFC が広く受け入れられるのは企業の方です。どのようにして企業は、自社の目的にあわせて NFC を安全に使用することができるのでしょうか。

NFC の最も一般的な用途の一つは、無線通信によって決済するシステム「非接触型決済」です。企業は、実際に独自の決済システムを使用する立場ではなく、それよりもすでに存在する何らかの非接触型決済のシステムを採用することになります。クレジットカードおよびモバイル端末の両者が、この分野への参入を試みていますが、両者とも NFC に対応しようとしています。このような状況で企業ができることは、信頼における NFC 供給元からの決済システムであることを確認し、企業が採用するセキュリティに潜在的な抜け穴がないかを自社で随時把握することです。

ただし、決済システムだけが、企業における NFC の使用方法ではありません。単に、人々は、URL の入力や QRコードの読み取りをせずに Webサイトを訪問するといった使い方もできます。また、規格開発することで、次のようなことが可能になります。例えばある店舗で、顧客に無料で「Wi-Fi」を提供したいが、顧客以外には提供したくない場合があるとします。この場合、店舗の入口に NFCタグを設置し、顧客がタグにモバイル端末をかざすことで Wi-Fi の設定を行うといったこともできるようになります。

さらに、この他に容易に想像できるのは、NFCタグでユーザの「Twitter」、「Facebook」および「foursquare」といったソーシャル・ネットワーキング・サービス(SNS)を自動的に更新するという使用方法です(ここでは外出先で使用できる3つの人気 SNS を挙げています)。上述の使用方法すべてが、現在すでに実現されていたり、近い将来、使用できるようになる可能性があります。

当然のことながら、これらのタグは、公共の場に存在します。タグを保護するには、何よりも企業が設置するすべての NFCタグを「書き込み禁止」に設定し、定期的に確認を行うことです。しかし、不正ユーザは、時に NFCタグを完全に変更することもできるため、NFCタグの「書き込み禁止」設定が常に完璧というわけではありません(最も悪い例は、「タグには書き込みできません」とただ言うだけの簡単な「書き込み禁止」です。これはあまり安全とは言えません。また、「書き込み禁止」設定が高く設定されている場合でも、製造会社やアプリがどのような「書き込み禁止」設定を実装しているかによって効果は変化します)。

もちろん、不正ユーザは、正規タグの上から不正なタグを貼ることもできます。これを阻止するには、タグをガラスのカバーまたは目印の後ろに置くことが得策です。これにより、すべての重ねられたタグは、すぐに発見され、外すことができます。

NFC におけるもう一つの一般的な用途は、ホテルのカードキーといった一種の入出管理です。これこそ NFCタグの理想的な使い道ですが、多くの場合、タグの内容の復元は容易で、タグの複製は比較的簡単にできることを覚えておいてください。こうした理由から、ユーザを認証するためにタグ内に保存されている情報は、完全に信頼してはいけません。

具体的に言うと、NFCタグは、(理論的には)変更されることを想定していない固有の ID を持っています。しかし、変更可能な固有の ID を持つタグを得ることは簡単です。供給元の中には、すでに割り当てられている番号を使い果たしたために、その番号を再利用している所もあります。ユーザも、市販の電子機器と任意の数字でカードを試すことができます。このため、認証のためにこの固有ID番号を使用することは、得策とはいえません。

ユーザが覚えておくべきことはもう一つあります。 NFC は、多くの興味深い使用方法を提供している一方、供給元が互換性のない独自仕様の機能を提供する発展途中の規格です。例えば、非接触型ICカード「MIFAREクラシック1K」は、技術的に NFC規格の一つではないとして、多くの NFC対応の端末で読み取ることができません(製品に搭載するNFCタグとして、少なくとも1つの携帯電話製造会社で使用される)。企業がこれら独自のタグを使用する場合は、顧客が特定のアプリまたは端末でタグを読み込む必要があります。どのタグを使用するか未定の場合は、URL の接続には標準の NFCタグを採用しておくと、ほとんどの場面で正常に機能します。

まとめると、NFC のいくつかの機能は、便利さでは劣る他の技術(QRコードなど)で提供することができますが、NFC は企業にとって興味深い機能をもたらします。正しく使用することを念頭に置き、NFC が適切に使用されれば、顧客と企業の両方が恩恵を受けることができます。

参考記事:

  • Safe NFC For Businesses
     by Ben April (Senior Threat Researcher)

    •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Android端末を狙う不正プログラムの2012年上半期トップ10-偽アプリ・アドウェア・情報収集型に要注意
    2. Android端末を狙う標的型サイバー攻撃の兆候をLuckycat のインフラに確認
    3. Android端末のアプリ更新での設計上不具合、中国のユーザに影響か。個人情報収集の恐れも
    4. Android端末用アプリのコンポーネントに存在するセキュリティ上の不具合、悪用の恐れが