12.03.17 第1回NFC勉強会資料

4,150 views

Published on

第1回NFC勉強会での発表資料です。
軽くNFCを取り巻く諸々の要素をまとめ、サービス展開時のセキュリティ面を考えてみました。

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,150
On SlideShare
0
From Embeds
0
Number of Embeds
1,040
Actions
Shares
0
Downloads
31
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • 12.03.17 第1回NFC勉強会資料

    1. 1. ⊂ミ⊃^ω^)アウアウ? ⊂(^ω^)⊃セフセフ? NFC周辺のセキュリティ事情 第1回 NFC勉強会 - 2012/03/17 @muo_jp
    2. 2. 自己紹介なかざわ けい / @muo_jp専門は超文系の経営学(MBA)仕事 ソーシャルゲーム開発 プロトタイプ開発とかもAndroidな人 Android1.0のSDKドキュメント翻訳やってました(2007年-) →その後バージョンアップの頻繁さに心折れました 今は日本語翻訳プロジェクトの一員です ちょいちょい個人的にアプリ書いてたりもします
    3. 3. 裏自己紹介 @muo_jp
    4. 4. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/ @muo_jp
    5. 5. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/ @muo_jp
    6. 6. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/ @muo_jp
    7. 7. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/ @muo_jp
    8. 8. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/前職中に大学スキップ&大学院(経営学)行き人生踏み外しました\(^o^)/ @muo_jp
    9. 9. 裏自己紹介小学生でプログラミング(BASIC)始めて人生踏み外しました\(^o^)/Cを勉強していた中学時代、周囲にWindowsのドライバ書いてるような人がいて人生踏み外しました\(^o^)/Perlでキャッキャしてた高校時代、同年齢の人がすげぇソフト作ってて凹み人生踏み外しました\(^o^)/浪人後、大学行くのいいやーと思い「面白そうだから」と関西でWeb系ベンチャー(前職)の創業に携わって人生踏み外しました\(^o^)/前職中に大学スキップ&大学院(経営学)行き人生踏み外しました\(^o^)/前職がIT業やめたのでKLabに転職してきて人生踏み外しました\(^o^)/ @muo_jp
    10. 10. 私がAndroidを始めたワケ NFC/FeliCaが載るのはiPhoneじゃなくて Androidだ、と思ったから なので、IS03(初のFeliCa 搭載端末)は発売日に 定価で買いました @muo_jp
    11. 11. 今日する話NFC/FeliCaの使い道は無限大! でもそれサービスとしてやっちゃって大丈夫なの?NHKニュース(悪い意味で)になったりしない?いろんなレイヤの話が混ざりがちなNFC周辺について少々構造を整理しつつ、特にFeliCaについてアウアウとセフセフの判断基準を考えるコードは1行も出て来ません @muo_jp
    12. 12. NFC周辺って…物理規格の話:13.56MHz帯を使った近距離無線通信(いわゆる微弱系)規格論理規格の話: MIFARE / FeliCaアプリケーションレイヤの話: Suica / Edy / PASMO / ANAマイレージ カード / ゲオポイントカード @muo_jp
    13. 13. 参考: 現行FeliCa実装概念図 出典: http://image.itmedia.co.jp/l/im/mobile/articles/1102/15/l_ys_docomo03.jpg @muo_jp
    14. 14. セキュアエレメント?暗号処理を担うチップ(あるいは回路)そうそう内容解析や偽造をされない前提電波特性だけ合わせて通信捏造しても、セキュアエレメントを用いた正規の手順を踏まなければカード側の真正性、通信相手の真正性の検証でハネられてエラーとなる→電子マネー利用の要 FeliCa FeliCa 信号処理セキュアエレメント モジュール @muo_jp
    15. 15. 超ざっくり書くとFeliCaを用いたアプリケーション(Android的なアプリケーションではなく、カード上のアプリケーション)を独自に持つものは、基本セキュアエレメントを用いてカード・サービス双方の検証を行なっているFeliCaチップ上にアプリのインストールを行わないサービスは、基本セキュリティがザル @muo_jp
    16. 16. 簡単な見分け方「SuicaやEdyなど、FeliCaならなんでも使える○○です」 統合ポイントカード系に多い 通常、FeliCaのIDmを読み取りサーバ側に持つポイ ント情報を引き出す形 IDmは容易に読み取り&リプレイ可能。理論上他人 のポイントを利用出来る実装が多いと考えられる @muo_jp
    17. 17. で、それってまずいの?必ずしもまずいわけではないやり取りする情報がどの程度重要なものかに大きく依存する翻って現在は安価なネット対応NFCリーダ/ライタ端末として、Android端末等を利用することが出来るようになりつつある状況 サービス提供敷居が下がる一方、無茶なサービスで大ゴ ケするとNFCの未来やばいんじゃないかなーと思う昨今 @muo_jp
    18. 18. ⊂ミ⊃^ω^)アウアウ サービス例 @muo_jp
    19. 19. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」 @muo_jp
    20. 20. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」 @muo_jp
    21. 21. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」 @muo_jp
    22. 22. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」 @muo_jp
    23. 23. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」 @muo_jp
    24. 24. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
    25. 25. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
    26. 26. ⊂ミ⊃^ω^)アウアウ サービス例「SuicaでもEdyでも、自宅の に出来ます!」「SuicaでもEdyでも、オフィスの入館キーに出来ます」「SuicaでもEdyでも、電話帳を取り出す に出来ます」「SuicaでもEdyでも、超重要な機密ファイルの複合用 に出来ます」「SuicaでもEdyでも、」「SuicaでもEdyでも、」「SuicaでもEdyでも、」 @muo_jp
    27. 27. ⊂(^ω^)⊃セフセフ サービス例 @muo_jp
    28. 28. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」 @muo_jp
    29. 29. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」 @muo_jp
    30. 30. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」「SuicaでもEdyでも、オフィスの勤怠管理が出来ます」 @muo_jp
    31. 31. ⊂(^ω^)⊃セフセフ サービス例「専用のFeliCaカードがあなたの家の になります」「携帯電話にFeliCaアプリケーションをインストールして、ポイントカードを統合することが出来ます」「SuicaでもEdyでも、オフィスの勤怠管理が出来ます」「SuicaでもEdyでも、そこまで重要でもないファイルに簡易的な をかけることが出来ます」 @muo_jp
    32. 32. 現状の勝手利用 せふせふ判断基準スキミングやリプレイ攻撃による被害の範囲が限定的である詐欺的行為を働くために、そのリターンに見合わないほど膨大な手間がかかるやり取りする情報の重要度に合わせて適宜追加要素認証を行う(一般向けの場合)個人を特定しうる情報を取得/表示しない 個人の直感に反する情報の使い方をしない プライバシー観は時代によってある程度変わってくるので、 世の中の動向を見ながら対応するのが大事 @muo_jp
    33. 33. NFC普及の上で…アウアウかセフセフかをエンドユーザさんに判断してもらうのは大変 けど、啓蒙の努力をしないとエンドユーザさん的に 「なんか怖いらしいじゃんNFC。使うのやめよ」となる簡易仕様のセキュアな情報のやり取りを、個人開発者でも比較的作り込んでリリースしやすいような仕組み作りが大事 セキュアエレメントを何らかの形で自由に叩ける仕組 みが用意出来ると、他にも嬉しいこと多いし @muo_jp
    34. 34. 参考文献フェリカネットワークス社の公開している技術資料や講演資料通信解析に基づいたlib_pasoriInterface誌2003年3月号(@chun_ryo氏thx!)http://www.sony.co.jp/Products/felica/business/data/SDK_Products.pdfhttp://image.itmedia.co.jp/l/im/mobile/articles/1102/15/l_ys_docomo03.jpg @muo_jp
    35. 35. 宣伝スタ☆ミもよろしく!http://bit.ly/sutame @muo_jp

    ×