Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

12.03.17 第1回NFC勉強会資料

5,765 views

Published on

第1回NFC勉強会での発表資料です。
軽くNFCを取り巻く諸々の要素をまとめ、サービス展開時のセキュリティ面を考えてみました。

  • Login to see the comments

12.03.17 第1回NFC勉強会資料

  1. 1. ⊂ミ⊃^ω^)アウアウ? ⊂(^ω^)⊃セフセフ? NFC周辺のセキュリティ事情 第1回 NFC勉強会 - 2012/03/17 @muo_jp
  2. 2. 自己紹介なかざわ けい / @muo_jp専門は超文系の経営学(MBA)仕事 ソーシャルゲーム開発 プロトタイプ開発とかもAndroidな人 Android1.0のSDKドキュメント翻訳やってました(2007年-) →その後バージョンアップの頻繁さに心折れました 今は日本語翻訳プロジェクトの一員です ちょいちょい個人的にアプリ書いてたりもします
  3. 3. 裏自己紹介 @muo_jp
  4. 4. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/ @muo_jp
  5. 5. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/ @muo_jp
  6. 6. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/ @muo_jp
  7. 7. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/ @muo_jp
  8. 8. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/前職中に大学スキップ&大学院(経営学)行き人生踏み外しました\(^o^)/ @muo_jp
  9. 9. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/前職中に大学スキップ&大学院(経営学)行き人生踏み外しました\(^o^)/前職がIT業やめたのでKLabに転職してきて人生踏み外しました\(^o^)/ @muo_jp
  10. 10. 私がAndroidを始めたワケ NFC/FeliCaが載るのはiPhoneじゃなくて Androidだ、と思ったから なので、IS03(初のFeliCa 搭載端末)は発売日に 定価で買いました @muo_jp
  11. 11. 今日する話NFC/FeliCaの使い道は無限大! でもそれサービスとしてやっちゃって大丈夫なの?NHKニュース(悪い意味で)になったりしない?いろんなレイヤの話が混ざりがちなNFC周辺について少々構造を整理しつつ、特にFeliCaについてアウアウとセフセフの判断基準を考えるコードは1行も出て来ません @muo_jp
  12. 12. NFC周辺って…物理規格の話:13.56MHz帯を使った近距離無線通信(いわゆる微弱系)規格論理規格の話: MIFARE / FeliCaアプリケーションレイヤの話: Suica / Edy / PASMO / ANAマイレージ カード / ゲオポイントカード @muo_jp
  13. 13. 参考: 現行FeliCa実装概念図 出典: http://image.itmedia.co.jp/l/im/mobile/articles/1102/15/l_ys_docomo03.jpg @muo_jp
  14. 14. セキュアエレメント?暗号処理を担うチップ(あるいは回路)そうそう内容解析や偽造をされない前提電波特性だけ合わせて通信捏造しても、セキュアエレメントを用いた正規の手順を踏まなければカード側の真正性、通信相手の真正性の検証でハネられてエラーとなる→電子マネー利用の要 FeliCa FeliCa 信号処理セキュアエレメント モジュール @muo_jp
  15. 15. 超ざっくり書くとFeliCaを用いたアプリケーション(Android的なアプリケーションではなく、カード上のアプリケーション)を独自に持つものは、基本セキュアエレメントを用いてカード・サービス双方の検証を行なっているFeliCaチップ上にアプリのインストールを行わないサービスは、基本セキュリティがザル @muo_jp
  16. 16. 簡単な見分け方「SuicaやEdyなど、FeliCaならなんでも使える○○です」 統合ポイントカード系に多い 通常、FeliCaのIDmを読み取りサーバ側に持つポイ ント情報を引き出す形 IDmは容易に読み取り&リプレイ可能。理論上他人 のポイントを利用出来る実装が多いと考えられる @muo_jp
  17. 17. で、それってまずいの?必ずしもまずいわけではないやり取りする情報がどの程度重要なものかに大きく依存する翻って現在は安価なネット対応NFCリーダ/ライタ端末として、Android端末等を利用することが出来るようになりつつある状況 サービス提供敷居が下がる一方、無茶なサービスで大ゴ ケするとNFCの未来やばいんじゃないかなーと思う昨今 @muo_jp
  18. 18. ⊂ミ⊃^ω^)アウアウ サービス例 @muo_jp
  19. 19. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」 @muo_jp
  20. 20. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」 @muo_jp
  21. 21. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」 @muo_jp
  22. 22. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」 @muo_jp
  23. 23. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」 @muo_jp
  24. 24. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
  25. 25. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
  26. 26. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
  27. 27. ⊂(^ω^)⊃セフセフ サービス例 @muo_jp
  28. 28. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」 @muo_jp
  29. 29. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」 @muo_jp
  30. 30. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」「SuicaでもEdyでも、オフィスの勤怠管理が出来ます」 @muo_jp
  31. 31. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」「SuicaでもEdyでも、オフィスの勤怠管理が出来ます」「SuicaでもEdyでも、そこまで重要でもないファイルに簡易的な をかけることが出来ます」 @muo_jp
  32. 32. 現状の勝手利用 せふせふ判断基準スキミングやリプレイ攻撃による被害の範囲が限定的である詐欺的行為を働くために、そのリターンに見合わないほど膨大な手間がかかるやり取りする情報の重要度に合わせて適宜追加要素認証を行う(一般向けの場合)個人を特定しうる情報を取得/表示しない 個人の直感に反する情報の使い方をしない プライバシー観は時代によってある程度変わってくるので、 世の中の動向を見ながら対応するのが大事 @muo_jp
  33. 33. NFC普及の上で…アウアウかセフセフかをエンドユーザさんに判断してもらうのは大変 けど、啓蒙の努力をしないとエンドユーザさん的に 「なんか怖いらしいじゃんNFC。使うのやめよ」となる簡易仕様のセキュアな情報のやり取りを、個人開発者でも比較的作り込んでリリースしやすいような仕組み作りが大事 セキュアエレメントを何らかの形で自由に叩ける仕組 みが用意出来ると、他にも嬉しいこと多いし @muo_jp
  34. 34. 参考文献フェリカネットワークス社の公開している技術資料や講演資料通信解析に基づいたlib_pasoriInterface誌2003年3月号(@chun_ryo氏thx!)http://www.sony.co.jp/Products/felica/business/data/SDK_Products.pdfhttp://image.itmedia.co.jp/l/im/mobile/articles/1102/15/l_ys_docomo03.jpg @muo_jp
  35. 35. 宣伝スタ☆ミもよろしく!http://bit.ly/sutame @muo_jp

×