交通系FeliCaのIDm認証は安全か

Apple Payのエクスプレスカードは、Pollingのシステムコードによって動作を変えており、0x0003の場合のみTouchID/FaceIDを通さずにFeliCaが有効になるとのこと -> 参考：Qiita

実際にラズパイでシステムコードを指定してPollingしたところ、確かにTouchIDなしにIDmが返ってくるようになり、交通系以外のICカードは反応しないようになりました

ここで本題なのですが、例えば家の鍵など、高いセキュリティが要求されるものにIDmのみの認証を使用することは、IDm自体偽装できることや、ユニーク性が保証されないことから非推奨とされています

一方、発行元が確かな交通系ICカードのシステムコードとされる「0003」を指定してPollingすれば、第三者によって偽装されたFeliCaは排除でき、且つごく小規模なグループの中で使用する範囲での重複は考えにくく、認証に使用しても問題ないと考えたのですが、どうなのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

発行元が確かな交通系ICカードのシステムコードとされる「0003」を指定してPollingすれば、第三者によって偽装されたFeliCaは排除でき、且つごく小規模なグループの中で使用する範囲での重複は考えにくく、認証に使用しても問題ないと考えた

問題あります。システムコードは関係ありません。システムコードがワイルドカードの0xFFFFであろうが、交通系ICカードで利用されることの多い0x0003であろうが、偽装しているデバイスがシステムコード0x0003でポーリングしてきたリーダーライターに、偽装したIDmでのレスポンスを返せば良いだけです。

FeliCa Standardで信頼できるデータをやり取りできる経路は、ポーリング後に暗号化鍵を用いてICカードとリーダーライター間で相互認証を行った後の通信だけです。

投稿2018/05/08 01:19