[論文レビュー] Chip and Skim: cloning EMV cards with the pre-play attack
この論文は、EMV(チップ&ピン)決済システムにおける深刻な脆弱性を明らかにしている。ATM や決済端末における乱数生成の欠陥により、攻撃者が物理的アクセスなしでカードをクローンできる「プレプレイ攻撃」が可能になる。攻撃は、取引の新鮮性を保証するために使用される『予測不能な番号』の予測可能性を悪用し、事前に有効な認証コードを計算することで、検出不能な不正取引を実現する。この不正は、銀行が顧客の誤りや共謀によるものと誤って特定する原因となっている。
EMV also known as “Chip and PIN”, is the leading system for card payments worldwide. It is used throughout Europe and much of Asia, and is starting to be introduced in North America too. Payment cards contain a chip so they can execute an authentication protocol. This protocol requires point-of-sale (POS) terminals or ATMs to generate a nonce, called the unpredictable number, for each transaction to ensure it is fresh. We have discovered two serious problems: a widespread implementation flaw and a deeper, more difficult to fix flaw with the EMV protocol itself. The first flaw is that some EMV implementers have merely used counters, timestamps or home-grown algorithms to supply this nonce. This exposes them to a “pre-play” attack which is indistinguishable from card cloning from the standpoint of the logs available to the card-issuing bank, and can be carried out even if it is impossible to clone a card physically. Card cloning is the very type of fraud that EMV was supposed to prevent. We describe how we detected the vulnerability, a survey methodology we developed to chart the scope of the weakness, evidence from ATM and terminal experiments in the field, and our implementation of proof-of-concept attacks. We found flaws in widely-used ATMs from the largest manufacturers. We can now explain at least some of the increasing number of frauds in which victims are refused refunds by banks which claim that EMV cards cannot be cloned and that a customer involved in a dispute must therefore be mistaken or complicit. The second problem was exposed by the above work. Independent of the random number quality, there is a protocol failure: the actual random number generated by the terminal can simply be replaced by one the attacker used earlier when capturing an authentication code from the card. This variant of the pre-play attack may be carried out by malware in an ATM or POS terminal, or by a man-in-the-middle between the terminal and the acquirer. We explore the design and implementation mistakes that enabled these flaws to evade detection until now: shortcomings of the EMV specification, of the EMV kernel certification process, of implementation testing, formal analysis, and monitoring customer complaints. Finally we discuss countermeasures. More than a year after our initial responsible disclosure of these flaws to the banks, action has only been taken to mitigate the first of them, while we have seen a likely case of the second in the wild, and the spread of ATM and POS malware is making it ever more of a threat.
研究の動機と目的
- プロトコルが『クローン不可能性』を主張しているにもかかわらず、検出不能なEMVカード不正取引の根本原因を調査すること。
- EMV端末における予測不能な番号の予測可能性が、カードクローンを模倣するプレプレイ攻撃を可能にすることを暴露すること。
- 広く展開されているATM やPOS端末における乱数生成の欠陥が、EMVのセキュリティモデル全体を根底から揺るがすことを実証すること。
- 消費者を保護し、業界の慣行を是正するため、責任の所在、証拠の保存、規制監視の仕組みに包括的な変化を提言すること。
提案手法
- ATM やPOS端末の取引ログを収集し、'予測不能な番号'(UN)フィールドのパターンを分析した。
- 実際のATMからUNシーケンスを収集するためのデータキャプチャカードを開発した。
- eBayで中古で購入したATMを対象に、現場での実験を行い、乱数生成の品質をテストした。
- EMV端末実装の逆アセンブリと暗号解析を実施し、予測可能なUN生成パターンを同定した。
- 将来のUN値を予測し、取引認証コードを偽造することで、プレプレイ攻撃をシミュレートした。
- 関係者への責任あるリークを実施し、カード決済機関、銀行、ベンダーの反応と業界の抵抗を文書化した。
実験結果
リサーチクエスチョン
- RQ1プロトコルが『クローン不可能性』を主張しているにもかかわらず、なぜEMVカード不正取引が銀行によって否定されるのか?
- RQ2EMV端末における予測可能な『予測不能な番号』が、検出を回避するプレプレイ攻撃を可能にする仕組みは何か?
- RQ3EMV仕様、認証、実装テストにおけるシステム的欠陥が、この脆弱性が数年間にわたり放置された理由は何か?
- RQ4なぜ銀行は取引ログを定期的に破棄するのか?そして、これが紛争解決と消費者保護を損なう仕組みは何か?
- RQ5暗号的に保護された決済システムにおける今後の大規模不正を防ぐために、どのようなガバナンス的・技術的改革が必要か?
主な発見
- 多くのATM やPOS端末における'予測不能な番号'(UN)は、単純なカウンターやタイムスタンプによって生成されており、予測可能でプレプレイ攻撃に対して脆弱である。
- 現場実験により、主要メーカーの広く使われているATMにおけるUN値が、3分ごとにサイクルする予測可能なカウンターパattersに従って増加することが確認された。
- 概念実証攻撃により、一時的なカードアクセスを持つ攻撃者が、将来の取引用に有効な認証コードを事前に計算可能であることが示された。
- この脆弱性は物理的クローン生成に限らない。中間者攻撃や、EMVカーネルが改ざん耐性であっても、端末に仕込んだマルウェアによっても実行可能である。
- 多くの銀行が取引ログを90〜180日以内に破棄しており、紛争解決を損なうとともに、不正の証拠があるにもかかわらず、銀行が責任を否認できる状況を生み出している。
- 業界の反応は、概ね無視的または非協力的であり、大多数の組織が公式のインタビューに応じず、既知の脆弱性を抑圧するというシステム的傾向が示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。