非接触型銀行カードは、すでに馴染みのあるプラスチック片です。唯一の違いは、無線で情報を送信するためのアンテナがあることです。 最も一般的なタイプは、VISA PayWaveとMasterCard PayPassです。 そのようなカードは、隅に波の形で対応するシンボルと、決済システムのロゴの横にある非接触技術の名前で区別できます。 購入の支払いをするには、特別なラジオを備えた支払い端末にそのようなカードを持っていくだけです。 それだけです-支払いが行われます。 パスワード入力とサインなし。 速度が向上-キューが減少します。
しかし、すべての美しいものと非接触型の支払いの両方に、論点があります。 このタイプのカードがどのように機能するかを見た後、疑問が生じます。売り手がカードから取引に必要なデータを取得できる場合、攻撃者がカードをスキャンしてそこからお金を引き出すのを妨げるものは何ですか? ポケットに非接触クレジットカードを入れておくのは安全ですか?
ちょっとした歴史
銀行が深刻な労働力不足に直面した20世紀初頭、銀行カードのセキュリティの問題が初めて発生しました。 店員は有価証券のシャフトを処理する時間がありませんでしたが、それには融資の要求とその承認が伴いました。
この状況により、銀行はATMを使用して顧客のセルフサービスを整理するようになりました。 新しい機器への信頼を確保するために、エンジニアはユーザーが自分を簡単、迅速、安全に識別できる方法を提案する必要がありました。 そのため、磁気ストライプ付きのカードがありました。
しかし、磁気メディアを備えたそのようなカードには、スキミングと呼ばれる深刻な問題がありました。 通常のATM要素を装ったスキマーを通して「プラスチック」を行う場合、攻撃者は磁気ストリップのコピーを作成し、受信した情報を空白のカードに転送できます。
これに対応して、80年代にスマートカードが登場しました。 外観は、先祖に非常に似ています。 スマートカードリーダーが利用できない場合に使用される磁気ストリップに加えて、マイクロプロセッサチップもそのようなカードのケースのプラスチックに組み込まれています-実際には、本格的なコンピューターです。 銀行業務アプリケーションのコンテキストでは、EMVチップと呼ばれることがよくあります。
EMVは、銀行支払いのセキュリティを強化するために、Europay、MasterCard、およびVisaが共同で作成した標準です。 作成後まもなく、EuropayとMasterCardは1つの会社に合併しましたが、ドキュメントの名前は変更しませんでした。
それでは、セキュリティレベルが向上した理由は何ですか?
まず、偽の複雑さ。 インターネットで2分間検索すると、磁気ストリップを使用してカードを複製するための最も詳細な手順と、これに必要な機器を入手するための数十のオプションが提供されます。 チップでカードを偽造することは現在不可能と考えられています。
2番目のセキュリティ要因は、動的データの使用です。 銀行取引ごとに、EMVチップは個別の確認コードを生成します。 この点で、支払い中に送信されるデータの傍受は無意味になります。
第三に、所有者のサブジェクト検証の出現。 支払いを確認するために磁気カードを使用するときは、署名する必要があります。ほとんどの場合、誰もオリジナルと比較しません。 また、「プラスチック」の所有者の名前をその所有者の身分証明書で確認する必要があるという事実について話す価値はありません。 チップカードを使用する場合、PINコードを入力することにより、各支払いの確認が行われます。
EMVチップは磁気ストリップに代わる深刻な代替品になりましたが、それでも多くの欠点があります。 最も重要なのは、磁気ストリップの巨大なインフラストラクチャとの互換性を確保する必要があることです。 この問題を解決するために、銀行は支払いにアクセスするための両方のオプションを提供するハイブリッドカードを発行します。 しかし、磁気ストリップでこのような組み合わせのカードを保守する場合、セキュリティの問題が再び発生します。 再び、スキミングの脅威があります。
チップを使用してデータをコピーすることはまだ可能です。 2008年(MasterCard)以前および2009年(Visa)までに発行されたスマートカードから、対応する磁気ストリップを作成するのに十分な情報、つまり番号、有効期限、サービスコード、銀行に関する情報を読むことができます。 これらの日付より後に発行されたカードの場合、この問題はもはや存在しません。
詐欺師がそのようなコピーの使用に成功するかどうかは疑問です。 カードのように、さまざまな種類の端末があります。 「クローン」を使用した詐欺師が磁気ストライプリーダーのみを備えた端末に接触した場合、問題なく使用できます。 カードから受信したコードを認識すると、ハイブリッド端末は、磁気ストリップに加えて、チップも含まれている必要があることを確認できます。 この場合、トランザクションは完了しません。
EMVチップの2番目の重大な問題は、接触インターフェースの速度が遅いことです。 チップにアクセスし、必要な手順を承認して完了するのに必要な時間は、磁気ストリップを備えたカードでのトランザクション時間よりも大幅に長くなります。 キューイングシステムの場合、この事実は詐欺のリスクよりもはるかに重要です。
このすべてにより、磁気カードとチップカードの両方の最良の側面を組み合わせ、同時に最小限の欠点を持つ支払い技術の作成が必要になりました。 NFC非接触銀行カードがこの役割を主張しています。
非接触技術について
非接触バンキング支払いメカニズムの物理的基盤として、NFCテクノロジーが使用されます。 NFC(近距離無線通信)は、約10センチの距離にあるデバイス間のデータ交換を可能にする短距離無線高周波通信です。 実際、これは、RFID非接触カード標準(ISO 14443)の単純な拡張であり、スマートカードとリーダーのインターフェースを単一のデバイスに組み合わせています。 銀行アプリケーションのNFCテクノロジーにより、古くて使い慣れた磁気ストリップを、銀行カードに限定されることなく、より新しいソリューションに置き換えることができます。 携帯電話であろうと、便利なアイテムに貼り付けられているRFIDステッカーであろうと、支払いは他の支払い手段で行うことができます。
非接触カードでは、取引を行うために必要な情報はカードチップに保存されます。 このようなカードには2つのタイプがあります。
第1の実施形態は、磁気ストリップを備えたカード上に位置する非接触インターフェースのみの存在によって特徴付けられる。 このタイプは、主に米国向けです。 実際、非接触モジュールは静的で、磁気ストリップに保存されている情報を複製します。
2番目のオプションは、最初のオプションよりも安全です。 このようなカードでは、チップと相互作用する2つのインターフェイス(接触(SIMカードに似たはんだ付け要素)と非接触(RFIDタグ))が必須です。 このタイプのカードは、EMV標準に準拠しています。 彼らは「チップの対応物」の利点を保持するだけでなく、より便利になりました。
-非接触カードは常にその所有者に残ります。 リーダーを介して転送したり、端末に挿入したりするために売り手に引き渡す必要はありません。 特に便利なのは、昼食を支払うときに、ウェイターがカードを受け取り、注文の支払い、他の訪問者へのサービス、お茶を飲むなどのために去ったという事実に同意する必要があるという慣行の終了です。
-非接触カードでは、サービスの速度を上げるために、追加の認証なしでの支払いが許可されます。 ロシアの場合、この金額は1,000ルーブル、ウクライナの場合-200グリブナ、タイの場合-700タイバーツです。 これは、値がこの金額を超える購入に対して非接触型の支払いができないことを意味するものではありません。この場合、認証手順を実行する必要があります。
国際的な支払いシステムが支払いの速度を上げることに照準を合わせているという事実のために、許可なしに小額で支払いを行うことが可能になりました。 そのため、Visaはトランザクションの最大許容時間を30秒に設定しました。 同じ目的で、VisaはVisa Easy Payment Serviceプログラムを開始しました。これにより、1,000ルーブル未満の購入時にすべての販売ポイントが顧客からの身分証明書を必要としません。
新しい支払い技術は、輸送などの速度が重要な大規模サービスのポイントで不可欠になりつつあります。 非接触カードで保存された秒数は、顧客のキューと待ち時間を大幅に削減します。
しかし、セキュリティはどうですか?
PayPassおよびPayWaveカードは、13.56 MHzで動作するRFIDチップを使用します。 彼のおかげで、カードと端末の間でデータ交換が行われます。 ただし、攻撃者は別のRFIDスキャナーでこの情報を簡単に傍受できます。
非接触カードの製造業者は、RFIDタグの範囲が3〜5 cmであるという事実に対する解決策を呼び出しますが、この議論は非常に物議を醸しています。 作用半径が30 cmを超える長距離リーダーはすでに存在しますが、これまでのところ、構成に十分な大きさのアンテナがあり、その存在を損なうことはありません。
したがって、RFIDスキャナーを使用すると、トランザクションリクエストを生成し、カードに対して攻撃を実行できます。 もちろん、このデータはクローンを作成するのに十分ではありませんが、多くのフィッシング攻撃が成功する可能性があります。
一方、立法者と支払いシステムの両方が、この問題の資金保有者をサポートしています。 カード所有者が異議を申し立てた1,000ルーブルまでの支払い額は、さらなる調査なしに、できるだけ早く返還されます。 これは主に、マイクロペイメントの開発への関心とキャッシュフローの一定の増加によるものです。 これは、採択された最も議論されている法律の1つである161-「国民支払システムについて」によって明確に示されています。 以前に、銀行カードでの詐欺では、侵害されたカードの所有者にあなたの無実を証明しなければなりませんでした。 状況は根本的に変化しています。 上記の法律の第9条に従って、銀行は、不正な資金移動の通知を受け取った後、クライアントの同意なしに実行された取引の金額をクライアントに払い戻す義務があります。 そしてその後、事件の調査に進みます。 しかし、最新の不正監視システムでは、銀行の顧客が取引に絶えず異議を唱える権利を悪用することはできません。 虚偽の電話を利用したい人はすぐに特定できます。
それで、非接触銀行カードを使用する価値があるかどうか? 最も価値があります。 便利なだけでなく、ほとんど安全です。 しかし、無線周波数チャネルを介してカードデータを送信することの安全性に疑問がある場合は、カードをフォイルエンベロープで保護すると、この問題が解決します。 そして、私たちは財布からの箔のくっついた角で人々とますます会うでしょう。