チップとPINによるクレジットカード認証に脆弱性--研究者らが指摘

　チップと暗証番号（PIN）を利用するクレジットカードリーダーが、有効なPINなしでもトランザクションを決済処理してしまう可能性があり、カードの不正使用につながる恐れがあることを研究者らが突き止めた。

　ケンブリッジ大学の研究者らが、デビットカードやクレジットカードの認証にチップとPINを用いるEMV（Europay、MasterCard、Visaの頭文字をとって名づけられている）プロトコルに基本的な脆弱性があることを発見した。

　これを悪用してカードとPOS端末間の通信を盗聴、改ざんする端末を作ることが可能になり、PINによる認証が成功したかのようにターミナルに振舞わせることが可能になる。

　ケンブリッジ大学のRoss Anderson教授はZDNet UKの取材に応じ「チップとPINの認証は崩壊している」と述べた。「銀行や小売店は『Verified by PIN』（PIN認証）であると書かれたレシートを頼りにしているが、これには全く意味がない」（Anderson教授）

　研究者らは、PINを入力することなく、カードリーダーにトランザクションを処理させることに成功した。さらにその後のテストで、正確なPINを知らないまま、実際に発行されているカードで処理を進められることを確認した。テストに使われたのは、Barclaycard、Co-operative Bank、Halifax、Bank of Scotland、HSBC、John Lewisの6社が発行したカードだった。

　EMVプロトコルの問題は、カードとターミナル間のあいまいな認証情報のやりとりと、銀行が受け取る情報にある。

　ターミナルはPINによる認証が行われたことを記録するものの、カード側が受け取る認証成功のメッセージにはPIN入力が行われたことが示されていない。一方の銀行は、ターミナルが記録した認証情報を受け取り、そのまま決済処理が進むことになる。

　したがって、処理を進めるにはPINの入力は必要だが、ターミナルにどんなPINでも承認させることが可能であると、研究者らは論文「Chip and PIN is Broken」で結論付けている。