電子マネーは暗号技術や耐タンパ技術等の様々な要素技術を組み合わせて
構成することによって、その安全性を実現している。しかし、第2章でも述べ
た通り、これらの要素技術は絶対的な安全性を持っているとは限らない。
従って、実際に実用に耐える電子マネーを構築するためには、こうした個々の
要素技術の安全性が期待された通りでない場合でも、全体としては必要な安全
性を保つことができ、システム崩壊に繋がらないように工夫を施しておくこと
が必要である。個々の要素技術のうち暗号技術については、多くの場合そのア
ルゴリズムが公開され、安全性に関する議論が行われている。だが、その議論
の中で現在もさほど大きな問題が見つかっていない暗号は、多くの信頼を得て
安全と考えられるようになっている。そのことから、適当なアルゴリズムを選
択し、十分な鍵長を設け、安全を見込んで鍵の有効期間を設定するなど、適切
な運用などを行っていれば必要なレベルの安全性を確保することは可能と考え
られる。これに対し、ICカードの耐タンパ性については、現状では、メーカー
等の技術情報開示がほとんどなく、安全性に関する議論が尽くされているとは
言い難い。従って、その安全性を客観的に評価することが困難であり、予めど
の程度のリスクを見積もっておくべきか判断することが困難である。
そこで、個々の要素技術のうち、ICカードの耐タンパ性に頼ることなく電子マ
ネーを構成した場合、その論理的な構成方法の違いによって、電子マネーの安
全性にどのような差が出てくるのかを評価する。この評価結果は、逆に、耐タ
ンパ装置がどのような場合に必要となるか、また、その耐タンパ装置に要求さ
れる安全性の強度はどの程度かなど、電子マネーの「総合的な安全性」のレベ
ルを上げるために追加的に組み合わせるべき手段の検討に利用できるものであ
る。なお、ここで評価の対象とするのは、特に「価値を不正に手に入れる行為」
に対する安全性であり、決済の妨害や電子マネーのシステム自体を破壊しよう
とする行為等に対する安全性は対象としない。また、「価値を不正に手に入
れる行為」とあるが、電子マネーの入ったICカード自体を盗んで使用すると
いった類の不正行為については、通常の現金やカード等と同じ物理的な盗難
に対する安全対策の問題であり、電子マネー固有の問題ではないため、直接の
検討の対象外とする。
評価は、具体的には、電子マネーをいくつかのタイプに分け、例えば、利用者
のもとに存在する情報を使ってどのような不正を行うことができるのか(防止)、
それはシステムを管理するものにとって検知できるものなのか(検知)、不正を
検知したときに被害をとどめるための対策はあるのか(抑制)、といった観点か
ら行う。評価の結果は、利用者のもとに存在するデータを不正には利用できな
いようにICカード等の耐タンパ装置に閉じ込める必要があるかどうか、また、
その強度はどれくらいかを判断する材料とすることができるため、その分析例
等も示す(検討結果(1)表参照)。
安全性の評価は、考え得る不正の種類(偽造、変造、複製、搾取等)、不正検 知の可否(不正が生じている事実の検出、不正の発生箇所を特定)、さらに検知 できた場合には不正行為を抑制するための対応策の有無を分析することによっ て行う。特に、利用者が支払情報を偽造する場合については、他の利用者に成り すます形での不正ができるかどうかという観点からも安全性のレベルを区別する ほか、商店が還流情報を偽造できないと判断された場合についても、他の利用者 と結託することによって不正が可能になるのかについて評価する。なお、使用 する暗号技術は、適切なアルゴリズムを利用し、十分な鍵長を設定しているため 安全であり、解読や署名の偽造はないものと仮定する。
安全性についての検討を行う項目及びその内容は以下の通りである。
利用者が自ら保有する秘密情報を利用することにより、支払 情報を偽造して商店に受け渡す不正行為。偽造された支払情報 が本来の利用者本人としてのものか(支払情報の偽造1 [本人])、 ある特定の利用者としての支払情報を偽造したものなのか(支払 情報の偽造2 [特定])、任意の利用者(実在しなくてもよい)と しての支払情報を偽造したものなのか(支払情報の偽造3 [不特 定])によって、不正行為の追跡が可能かどうかの差が生じるため、 これを特に区別する。
商店が利用者から受け取った売り上げ(受取情報)を偽造して、 銀行に還流させることにより、価値を入手する不正行為(還流情 報の偽造 [結託なし])。商店と銀行の間の取引は匿名性がない 状態で行われるため、商店はやり逃げタイプの不正を行うことは 不可能。なお、商店が特定の利用者と結託し、利用者の保有する 秘密情報も利用することによって、初めて実行可能になる不正行 為(還流情報の偽造 [結託あり])についても分析する。
不正行為者が、発行機関(含む登録機関)の保有する秘密情報 を不正に手に入れ、これを利用して発行情報ないし支払情報を 偽造することによって、価値を手に入れる不正行為。発行機関 による秘密鍵等の情報管理が脆弱であったり、内部者による不 正行為が可能な場合に想定される偽造である。
利用者が自ら保有する秘密情報をもとに、支払情報の偽造等を
行うことによって価値を不正に入手する攻撃が成功し、かつそ
の事実を検知できないタイプの電子マネー(安全性レベルA)や、
検知は可能であっても、この偽造等による被害を抑制する対応
策を何も講じることができないタイプの電子マネー(安全性レ
ベルB)は、これだけでは必要な安全性を確保できていないとい
うことであり、ICカード等の耐タンパ性を利用することによ
って、利用者が自ら保有する秘密情報に不正にアクセスできな
くすることが必要となる。
一方、価値を不正に入手する攻撃が成功する可能性があったと
しても、事後的に不正行為者を特定できるなど、これを検知し
かつ抑止する効果的な対応策が存在するタイプの電子マネー
(安全性レベルC)は、「やり逃げ」ができないなどの限られた
運用環境下では、ある程度は安全といえるが、耐タンパ性の
ある装置を組み合わせることによって、さらに安全性を高める
ことができる。
なお、支払情報の偽造等の価値を不正に入手する攻撃が成功し
ないタイプの電子マネーは、そのままでも必要な安全性を確保
しており、ICカード等の耐タンパ性のある装置を必ずしも必
要としない(安全性レベルD)。
電子マネーを設計する際には、一定のコスト制約のもとで、必
要な機能や利便性を実現しつつ、こうした安全性のレベルを極
力高めることが必要である。
各電子マネーモデルについての支払情報の偽造に関する、耐 タンパ装置の必要性について整理したものが下の表である。
| 安全レベル | 不正の未然防止 | 不正の検知 | 不正を抑制する対応策 | 安全性の判断 | 対タンパ性の必要性 |
|---|---|---|---|---|---|
| レベルA | ×攻撃成功 | ×検知不能 | ----- | 危険 | 必須 |
| レベルB | ×攻撃成功 | ○検知可能 | ×対応策なし | 危険 | 必須 |
| レベルC | ×攻撃成功 | ○検知可能 | ○対応策あり | 必要最低限の安全性を確保 | 追加すれば安全性はさらに向上 |
| レベルD | ○安全 | ----- | ----- | 安全 | 必要なし |
これによると、残高管理型では、ローカルで価値を管理(セ
ンタ併用を含む)するオフライン型の電子マネーは、基本的には
価値の不正な創出が自由に行えるため、さらに耐タンパ性を持っ
たICカード等の付加的な安全対策を講じる必要がある。
センタで価値を管理するオンライン型の電子マネーでは、価値
が不正に創出される危険はないが、本人認証の安全性が確保さ
れない場合には、他の利用者の価値が搾取される危険がある。
この点、暗号方式として共通鍵暗号や公開鍵暗号による静的認
証を使うタイプの電子マネーは、盗聴により本人認証のための
情報等が盗まれると成りすましが容易に行えるため、攻撃され
る危険性がある。したがって、残高管理型の電子マネーで耐タ
ンパ装置に頼らなくても安全なものは、センタで価値を管理す
るクローズドループ型の電子マネーで暗号技術として公開鍵暗
号を使った動的認証を用いるタイプのみということになる。な
お、耐タンパ装置が必須と判断される他のタイプの電子マネー
についても、その攻撃による被害が価値の創出なのか、他の利
用者の価値の搾取なのかといった電子マネーシステムに与える
インパクトの大きさに応じて、必要とされる耐タンパ装置の強
度レベルは異なる。
一方、電子紙幣型の電子マネーでは、暗号技術として公開鍵暗
号を使ったタイプであれば、基本的に偽造を行うことができない。
ここで問題となるのは、利用者本人が保有する電子マネーの二重
使用や、盗聴等により手に入れた他の利用者が保有する電子マネ
ーの不正使用であるが、これらについてはオンラインで即時検証
を行うことにより防ぐことができる。
なお、オンラインで即時検証を行わなくても、暗号方式として公
開鍵暗号の動的認証を使用するタイプであれば、盗聴等により手
に入れた他の利用者の電子マネーが不正使用されることを防ぐこ
とは可能である。この場合でも、利用者本人の保有する電子マネ
ーを二重使用することは可能であるが、暗号技術により不正行為
者が事後的に特定される仕組みを設けることはできるため、「や
り逃げ」ができないような運用環境下では安全といえる。
耐タンパ装置等の付加的な安全対策を組み合わせれば、さらに
「やり逃げ」まで防止することも可能である。残高・ローカル・
オープン型の電子マネーは、採用している暗号技術にかかわらず
攻撃が成功し、その安全性は変わらない。つまり、必要最低限の
暗号技術が使用されていれば、それがどのような方法であるかは
電子マネーの安全性レベルにはあまり影響しないことから、暗号
方式の強化にコストをかけるよりは、耐タンパ性の強化にコスト
をかけることの方が意味のあることになる。
支払情報の偽造という観点からみると、オンライン型の電子
マネーは、暗号技術として公開鍵暗号を利用したものは残高管
理型、電子紙幣型とも同程度で安全である。但し、実際に実用
化することまで考慮すると、構造がシンプルなために、処理に
必要な資源等が少なくてすむ分、残高管理型が優位といえる。
一方、暗号技術として共通鍵暗号を利用したものは、新たに価値
を創出する種類の不正は不可能であるが、盗聴によって得た情報
を利用することにより、他の利用者の価値を盗むことは可能である。
残高管理型は一度盗聴されると、盗聴された利用者の取引を停止
するなどの対策を講じない限り、センタで管理されている残高
が将来にわたってすべて横取りの危険にさらされるのに対して、
電子紙幣型は盗聴された電子紙幣の価値のみが横取りの対象とな
り、攻撃者は不正を行う度に盗聴する必要が生じる。
なお、個々の電子マネーが個性を持って区別できる電子紙幣型の
場合、共通鍵型ではどの電子マネーを誰に発行したかが発行機関
にわかってしまうのに対し、公開鍵型ではブラインド署名等を使
用することによりこれをわからなくし、匿名性を持たせることも
できる。
支払情報の偽造という観点からみると、オフライン型電子マネ
ーは耐タンパ性のある装置なくしては、何らかの攻撃による被害
を受ける可能性がある。しかし、電子紙幣型で暗号技術と
して公開鍵暗号(動的認証)を使用するタイプは、被害を受けた時
に不正行為者の特定を行うことが可能であるなど、その攻撃に対
する対応策を持っている点で優れており、運用環境に配慮すれば
必要最低限の安全性を有しているといえる。
残高管理型の電子マネーではオープンループ型はクローズドルー
プ型に比べ安全性が低いのに対し、電子紙幣型では両者の安全性
は同じであり、処理する情報量の増大を気にする必要がなければ、
電子紙幣型の場合はオープンループ型にして利便性を高める方が
合理的となる。
なお、残高管理型の電子マネーにおいては、残高・併用・クロー
ズド型は使用する暗号技術の種類にかかわらず、残高・ローカル
・クローズド型より安全性の面で優れており、センタ側でも価
値を管理するというさほど大きくない仕様変更によって、価値を
創出するタイプの偽造を防ぐことができることがわかる。これは、
実際に世の中で実験されている残高管理型のクローズドループ型
電子マネーの多くが、残高・併用・クローズド型であるという事
実に適合している。
還流情報の偽造という観点からみると、電子紙幣型の電子マ
ネーは、還流時はいずれのタイプも結果的にオンラインチェック
となるため安全である(耐タンパ装置は不要。)
一方、残高管理型の電子マネーは、センタで残高を管理してい
ない場合(ローカルのみで残高を管理している場合)は、価値を不
正に創出するタイプの攻撃が可能である(耐タンパ装置が必要)。
もっとも、この場合、価値受け取り時のログ(取引の履歴)も発行
機関に対して還流させることにすれば安全となるが、それでも商
店が他の利用者と結託した場合には攻撃され得ることがわかる。
また、センタで残高を管理する場合は、商店が一時的に他の利用
者の価値を横取りすることは可能であるが、横取りされた利用者
の申し出により不正の事実が発覚するほか、センタのログを確
認することによって横取りされた価値がどの商店の電子マネー出
納口座に入金されたかを把握可能なため、不正が行われた電子マ
ネー出納口座を凍結したり、口座の持ち主を捕まえることによっ
て被害は限定される(耐タンパ性があるとさらに安全性が向上)。
なお、価値受け取り時のログ(取引の履歴)も発行機関に対して還
流させることにすれば、結託者以外の利用者から受け取った電子
マネーの還流情報を偽造することはできないためさらに安全とな
る(耐タンパ装置は不要)。
発行機関の情報を利用した偽造という観点からみると、残高管
理型の電子マネーの場合、センタにオンラインで接続して取引処理
が行われるタイプ(残高・センタ・クローズド型)では、他の利用者
の残高を横取りする種類の偽造しかあり得ず(公開鍵暗号を利用した
動的認証によって本人確認をすればこれも防止)、しかも、事後的に
不正を行った電子財布を特定することができるため、相対的に安全
性は高い。
これに対して、センタとはオフラインのまま取引処理が行われるタ
イプは基本的にすべて、暗号技術の選択の方法等にかかわらず、価
値を創出する種類の偽造が可能となる。
一方、電子紙幣型の場合は、発行機関の情報を利用することによっ
て、任意の電子紙幣、譲渡証を作成することが可能。但し、還流時
の発行機関による二重使用チェックの方法によっては、これを発見
し、不正使用を防止することができる。電子マネー発行にブライン
ド署名を使うことにより匿名性を実現しているタイプの電子マネー
では、発行時に電子紙幣識別番号を登録することができないことか
ら、通常、還流時に登録を行い、もし、登録済みであれば二重使用
された電子マネーとみなしている。このため、発行機関の秘密鍵を
使って新たに偽造された電子紙幣は正規のものと区別できずに受け
入れてしまう。
これに対し、電子マネー発行時に電子紙幣識別番号を登録すること
ができる電子マネーでは、還流時にこの消し込み処理を行い、もし、
消し込むべき識別番号が存在しなければ不正な電子マネーと判断し
ているため、いくら正当な発行機関の秘密鍵を使った電子紙幣であ
っても、これが偽造であると判断することができるため、安全性が
高い。また、NTT電子マネーでは、登録機関を新たに設けることに
より、コントロールされた匿名性を保ちつつ、この後者の方法を実
現することに成功している。
本稿では、電子マネーで使用される情報セキュリティ技術のうち
主要な要素技術について紹介するとともに、これらの要素技術自
体は絶対的な安全性を持つとは限らないことを示した。
次に、耐タンパ性を利用せずに電子マネーを構成した場合に、
各電子マネー実現方式の違いによって、安全性にどのような違いが
あるのかを分析した。こうした分析結果は、電子マネーの機能や技
術的特徴の違いが、各電子マネー実現方式の安全性に大きな影響を
与えることを示すとともに、安全性を高めるためには、他にどのよ
うな要素技術(耐タンパ装置等)を追加する必要があるかを検討する
材料として利用し得る。
電子マネーは、様々な情報セキュリテ
ィ技術を組み合わせることによって成り立つ総合技術である。特定
の情報セキュリティ技術に過度に頼ることなく、仮に利用している
要素技術の安全性が期待された通りでなかったとしても、他の要素
技術がこれを補完して全体としては必要な安全性が保たれるように、
複数の情報セキュリティ技術をバランス良く組み合わせることによ
って、「総合的な安全性」を高めることが重要であろう。