支払いカードにRFIDシールドスリーブ/ウォレットは必要ですか?
非接触型決済カードを保護すると主張している製品(例:特別なスリーブ、ウォレット)を今まで何度か宣伝しました。
これらの製品は何を防ぐのでしょうか?
- 本物の決済端末の近くに立っているときに、誤って間違った決済カードを使用しないように保護しているだけですか?
- または、攻撃者がRFIDを介して十分な情報を盗み、カードのクローンを作成したり、何かにチャージしたりすることは可能ですか?
必要に応じて見ますか?
セキュリティ対策に価値があるかどうかを判断するには、対策のコストとそれを使用するメリットのバランスをとる必要があります。この場合、スリーブを購入するための少しのお金を除いて、カードを使用するたびにカードをスリーブから取り出す必要があります。
それで、それは彼らが防御する実際の脅威に値するのでしょうか?それは何を盗むかによります。支払いカードの場合、人々がそれらを盗むためには、POS端末と銀行の口座を持っている必要があるため、カードを保護する価値はありません。彼らが不注意にお金をすくい始めたら、彼らは捕まるでしょう。ほとんどの非接触型決済システムは金額を制限しているため、1回の攻撃で価値が出ることはありません。これまでのところ、非接触システムで機能するクローン攻撃はないので、それは問題ではありません-まだです。不注意による支払いは起こりそうにありませんが、誤ってウォレットを支払いシステムにタップしてしまう人はほとんどいません。そうした場合、おそらく払い戻しを受けることができます。
他の種類のカードに関しては、うまくいくかもしれないいくつかの攻撃があります。一部の建物入場カードのクローンを作成し、ハンドヘルドスキャンデバイスを使用して非接触カードを輸送することは可能ですが、これは非常にまれであり、実際には簡単に実行できません。
したがって、ほとんどの人にとって、カードスリーブは問題を待つ解決策です。これは、新しい攻撃の到来に応じて変わる可能性がありますが、今のところは、箔押しの帽子の群衆のためのものです。
ここに投稿した他のすべての人は本質的に正しいと私は前もって言いたいのですが。私はRFIDシールド技術のユーザーなので、別の見方をすると思います。
私の財布のすべてのカードにはRFIDチップが入っています。クレジットカード、ATMカード、トランスポートカード、オフィスキー、運転免許証、私のコーヒー割引カードも。また、私のパスポートはRFIDを持っています。
私は ID Stronghold からシールド付きウォレットを購入しました。各カードスリーブに個別にいくつかのシールド材(おそらくアルミニウムですが、メーカーは指定していません)で裏打ちされた黒い革。一部のウォレットは外側のみをシールドし、個々のカードスロットをシールドしないため、これは重要です。ウォレットが開いている場合、またはウォレットが開口部を残すのに十分な厚さ/完全である場合、ウォレットは潜在的に脆弱です。私はまた、ステンレスメッシュで作られたカードスロット付きのパスポート2つ折りを持っています(どのブランドであったか思い出せません)。私の財布にあるカードが、自分のスキャナーで読み取れなかったことを確認できます。テスト済みですが、マイレージは異なる場合があります- この記事 で説明されているように、いくつかのブランドとモデルの使用と効果は異なる場合があります。
RFIDチップについて3つの懸念があります。
- クレジットカード詐欺 前述のように、これは最も明白で非常に現実的な脅威ですが、まだそれほど普及しているわけではありません(クレジットカードデータを取得する簡単な方法があるため、主に提案します)。
- 誤ったカード料金。 RFIDはリーダーから数インチ以内での動作に制限されているため、これは信じられないように見えますが、これは 無効な仮定であることが示されています であり、これのインシデントは this Security今ポッドキャスト ( 転写 があります。必要に応じて、「非接触型」を検索すると、関連セクションに直接移動します)。
- 個人情報の盗難。これは現在 ほぼ理論的 ですが、これが最も懸念されるケースです。
このテクノロジーは新しいものではありません どちらも攻撃ベクトルではありません 。 RFIDを搭載したカードと身分証明書の数が増え続け、潜在的な攻撃のコストが減少しているため、これらのタイプのインシデントがますます頻繁になると予想できます。
最終的には、このタイプのリスクへのエクスポージャーが何であるかを判断する必要があります。シールドは現在でも私たちの間の偏執狂にとってのみ重要である可能性があることに同意しますが、コストは最小限であると主張します。私の財布の価格は通常の財布よりも高くなく、(個々の袖はおそらくあまり実用的ではないことに同意しますが)シールドが組み込まれているため、使い勝手も悪くありません。
これらの製品が実際に防御することを目的とする「脅威」について混乱するのには十分な理由があります。これらのアイテムについて私が見たコマーシャルでは、実際にここで実行されるはずの正確な脅威の明確で明確な識別を提供していません。私が遭遇したすべてのコマーシャルは、バッグに入れられた(目に見えない)デバイスや、疑いを持たない人の財布や財布から発せられるある種のアニメーションの波をとらえる何かを運ぶ悪者を示しています。当然、これはシールドが非接触カードを含む攻撃から保護することを意図していることを示唆します。しかし、コマーシャルはまた、実際にはどこにもそれを言わないように注意します。そして、アナウンサーが話している方法と「シナリオ」がどのように展開されるかは、all支払いカードは、彼らからの支払い情報を盗み出すことに対して脆弱であるという印象を伝えます謎の攻撃者。
もちろん、脅威について具体的でなくても、ビジネスの観点からは理にかなっています。ほとんどの人は、非接触型決済テクノロジーを使用するクレジットカードやデビットカードをまだ持っていません。 (交通機関カードのようなカードはおそらく別の話です。)もしあなたがすぐに来て、あなたの保護があなたの市場を大きく制限している新しい非接触決済カードを持っている場合にのみ重要であると言う場合の意味です。だから、それが正直で責任ある唯一のことだと言っても、悪質で恐れを恐れない戦術を使って全員に印象を残そうとする企業にはインセンティブがありますこれらのような攻撃に対して脆弱です。それが確かにそう遠くない場合は確かです。
そして、非接触型取引を行う支払いカードがあるとしても、これらの製品がセキュリティ上の利点を提供するかどうかという疑問に私たちは触れます。それについて私は2つのことに注意します。まず、他のEMVスマートカードと同様に、非接触型EMV支払い機能を備えたスマートカード 特に複製できないように設計されています 攻撃者がトランザクション中に非接触型信号から情報を盗むことができる場合でも。または、多くのトランザクションから収集された信号からでも。これは、静的な認証(従来の磁気ストライプカードのように)ではなく、 動的認証 を実行する支払いタイプを使用することによる固有の利点です。
第二に、「非接触」という名前は、ほとんどの場合、実際には一種の誤った名称です。多くの場合、カードは財布、財布、またはカードが置かれている他の保管場所から取り出され、物理的にリーダーを直接タップしない限り、支払いを承認するために機能しません。他のカード(たとえば、トランジットカードなど)は、ウォレットの素材には使用できますが、冬のジャケットなどの追加のカバーには使用できません。バッグやコートのポケットの奥深くに埋め込まれたカードから情報をキャプチャできる、悪者の隠された装備の広告の描写は...ありそうにありません。
さて、2013年に英国の一部の研究者 できた 約45センチメートル/ 18インチの距離で、2センチメートルをはるかに超えてカードを読み取ることができるのが理想的です。しかし、これらの観察がどのように行われたかという正確な状況は少し曖昧であり、実際にトランザクションを行おうとしても、それを行おうとしてもおそらく成功しなかったようです。とにかく、Visa contends それは不可能だったでしょう。 (そのFAQの質問「偽の非接触型端末を持つ詐欺師が私をブラッシングしてカードからお金を盗むことはできますか?」を参照してください。)
要するに、技術的なリスクは再です。通常の非接触型決済カードの実装では、決済カード情報を盗んだり、偽の取引を成功させたりすることはほとんどないようです。ただし、本当に安全な側にいたい場合は、安心できるようになります。おそらく、何らかの種類の金属ホイルを財布、財布、またはその他のカードを運ぶデバイスに目立たなく入れることができます。これらの広告の一部が10セント相当のアルミニウムで作られた小さなポーチ以上のものからなる製品を購入するために引用している$ 25.00 +を節約します。 :)