非接触型決済かQRコード決済かどっちの方が優れているのか、セキュリティ面でまとめました 発表場所(#hiro_it) https://hiro-it.connpass.com/

1. 非接触型決済 vs QRコード決済
(セキュリティ編)
akimalu

2. 自己紹介
akimalu
Twitter:@aki_malu_sec(セキュリティ専門アカウント)
愛知県生まれ タイ育ち
所属 : 東京の某セキュリティ企業(開発)
趣味 : テニス(プレーヤー、観戦)、音楽(ギター、ライブ参戦)、など
最近の活動 : CODE BLUE 2019 (CBNOC)
Internet Week 2019 参加
第019282号

3. RFID
(Radio Frequency Identification)
HF帯
(High Frequency)
UHF帯
(Ultra High Frequency)
NFC (Near Field Communication)
・Type A (taspoなど)
・Type B (免許証など)
・FeliCa (交通系ICカード, QuickPay, iDなど)
・物流
・コンビニの在庫管理

4. 電磁誘導
・CPU
・メモリ
・コンピュータに接続

5. 電磁誘導
・ID情報
・(認証情報)
・登録時の個人情報
・使用履歴
・残高

7. 暗号化や認証
・ID情報(暗号化)
→ 毎回不規則に変更
・(認証情報)
・登録時の個人情報
・使用履歴
・残高
耐タンパー性

8. 耐タンパー性
• 耐タンパー性
→ 分解やサイドチャネル攻撃、フォールト攻撃の対策
・サイドチャネル攻撃
→ 処理の様子(消費電力, 時間など)を見て暗号鍵を推定
・フォールト攻撃
→ 異常値を流して反応を見て、暗号鍵を推定

9. QRコード決済は安全？？

10. 実際に起きている事件 (海外)
・QRコードを上から貼る
・肩越しでQRコードを読み取る
https://www.youtube.com/watch?time_continue=124&v=tCxR
HtDnf8Q&feature=emb_logo

11. まとめ
• 非接触型決済
脅威の種類：多い
攻撃難易度：高い (ITの専門知識がある程度必要)
• QRコード決済
脅威の種類：少ない
攻撃難易度：低い (専門知識は必要ない)

12. 番外編
・入室カードの複製
https://www.youtube.com/watch?time_continue=76&v=cxxnu
ofREcM&feature=emb_logo
・エレベーターで立ち入り禁止フロアに侵入
https://www.youtube.com/watch?time_continue=62&v=1PSw
H8ldw5M&feature=emb_logo