Comments
Description
Transcript
オープンOS端末上のおサイフケータイにおけるクレジット
スマートフォン 非接触 IC カード クレジット NTT DOCOMO Technical Journal オープン OS 端末上のおサイフケータイにおける クレジットサービスの開発 スマートフォンの普及が進み,その OS がオープンソ み う ら のぶゆき † ほ し の じん クレジット事業部 三浦 信幸 星野 仁 サービスプラットフォーム部 広瀬 仁一 ースとして公開されているが,オープンソースは有益で ある一方,リバースエンジニアリングなどにより脆弱性 を発見され,攻撃されるリスクがある.オープン OS 端 ひ ろ せ じんいち † ふくぞの た か し †† d囿 貴嗣 末上のおサイフケータイでクレジットサービスを実現 するには,従来のフィーチャーフォンとは異なるアーキ テクチャが必要となる.そこで,フィーチャーフォンで 実現したセキュリティレベルを保ちつつ,既存システム を改修する際のインパクトを抑えた,オープン OS 端末 に対応したクレジットサービスを開発した. きた既存システムをそのような新 情報をおサイフケータイ上の非接 しいアーキテクチャに適合させる 触 IC チップ (FeliCa 現在,スマートフォンの普及が進 場合,いかにしてシステム改修イン にセキュアに書き込む機能である. んでおり,その OS をオープンソー パクトを抑え,コストの低減・開発 書込みにあたっては,非接触 IC 期間の短縮を図るかが重要である. チップサーバ(FeliCa サーバ)と る.オープンソースとして公開され そこで,フィーチャーフォンで実現 FeliCa チップとの間のセキュアな通 ることは,そのOSの利用・熟成や, したセキュリティレベルを保ちつ 信路が用いられ,改ざん・盗聴のリ その OS 上でのアプリケーション開 つ,既存システムへのインパクトを スク対策が図られている.FeliCa チ 発に有益である一方,リバースエン 抑えた,オープン OS 端末に対応し ップ内にカード情報が書き込まれ たクレジットサービスを開発した. た後は,FeliCa チップのハードウェ を発見され,攻撃されるリスクがあ 本稿では,その実現方式について解 ア的なセキュリティ機構によって, る.そのようなオープン OS 端末上 説する. クレジットカード情報の改ざん防 1. まえがき ス *1 として公開しているものがあ ジニアリング *2 などにより脆弱性 のおサイフケータイにて,クレジッ *3 Ñ* 4 チップ) 止が図られている. と)と同等以上のセキュリティレベ 2. フィーチャーフォン とオープン OS 端末 でのアーキテクチャ ルに保つには,新しいシステムアー おサイフケータイでのクレジッ は端末アプリケーションが,FeliCa キテクチャが必要となる.また,フ トサービスの実現にあたって最も チップに書き込むカード情報を,カ ィーチャーフォン向けに構築して 重要な機能は,クレジットカードの ード情報を管理するカード情報等 † 現在,フロンティアサービス部 †† 現在,クレジット事業部 * 1 オープンソース:ソフトウェアの著作者 の権利を守りながらソースコードを公開 することを可能にするソフトウェア使用 許諾条件の総称,または,そうして公開 されたソースコードそのもの. * 2 リバースエンジニアリング:ソフトウェ アやハードウェアの構成や動作を解析し, 製造方法や動作原理などを明らかにする こと. * 3 非接触 IC チップ: IC カードリーダ/ライ タと無線通信にて情報交換を行う半導体 集積回路. トサービスをフィーチャーフォン (ここでは従来の i モード端末のこ NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2 フィーチャーフォンとオープン OS 端末のアーキテクチャの比較を 図 1 に示す.フィーチャーフォンで 41 オープン OS 端末上のおサイフケータイにおけるクレジットサービスの開発 (a)フィーチャーフォンの場合 フィーチャーフォン 端末アプリケーション カード情報など要求 カード情報等サーバ カード情報など応答 カード情報など カード情報など書込み依頼 FeliCaサーバ FeliCaチップ NTT DOCOMO Technical Journal カード情報書込み処理 カード情報など (b)オープン OS 端末の場合 オープンOS端末 脆弱性を 突く攻撃 端末 アプリケーション (iD向けスマフォ GWサーバ) 既存サーバとのインタ フェースの違いを吸収 カード情報など要求 カード情報等サーバ カード情報など応答 カード情報など カード情報など書込み依頼 FeliCaサーバ FeliCaチップ カード情報書込み処理 カード情報など 図 1 フィーチャーフォンとオープン OS 端末とのアーキテクチャ比較 サーバ(以下,カード情報等サー ある.このため,端末アプリケーシ バ)からダウンロードし,いったん ョンとカード情報等サーバや FeliCa メモリ上に保持する.そのうえで, サーバとの間に攻撃を受けにくい クレジットカード情報をFeliCaサー 仲介サーバを設け,カード情報など 3. 仲介サーバ・端末 アプリケーション の実現 バに書き込む依頼を行うことで, は仲介サーバ上に一時蓄積するア 3.1 iD向けスマフォGWサーバ FeliCa チップへの書込みを行ってい ーキテクチャとした.また,既存の る.一方,オープン OS 端末上の端 カード情報等サーバはフィーチャ は,オープン OS 端末に搭載された 末アプリケーション・メモリは脆 ーフォン向けに作られていること FeliCa チップに対して,セキュア 弱性の攻撃を受ける可能性があり, から,オープン OS 端末上の端末ア にクレジットカード情報を書き込 オープン OS 端末上にカード情報を プリケーションとのインタフェー むための仲介サーバである.iD 向 一時蓄積すると,クレジットカード スの違いを吸収する機能を仲介サ けスマフォGWサーバの機能構成を 情報を偽造・改ざんされ,不正なク ーバに搭載することで,既存のサー 図 2に示す. レジットカード情報がFeliCaチップ バへのインパクトを最小限に抑え 上に書き込まれてしまうおそれが ることとした. Ñ * 4 FeliCa :ソニー㈱が開発した非接触型 IC カード技術方式.同社の登録商標. 42 仲介サーバ iD *5 向けスマフォ GW サーバ iD向けスマフォGWサーバは,主 に次の4つの機能を有する. * 5 iD :「iD」ならびに iD のロゴは,NTT ド コモの商標または登録商標. NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2 FeliCaサーバ カード情報等サーバ ている.これにより,コストの低 減・開発期間の短縮を図った. ºシーケンス管理機能 オープン OS 端末からの要求をセ *6 ッション 情報として保持し,不正 な端末からの割込みが発生するこ iD向けスマフォGWサーバ とを防いでいる.クレジットカード NTT DOCOMO Technical Journal インタフェース変換機能 情報書込みの操作が,端末アプリケ ーションからの複数のインタフェ FeliCaチップ 更新,参照機能 ース電文で構成される場合,管理情 シーケンス管理機能 報(IP アドレス・パスワードなど) の連携情報を iD 向けスマフォ GW アクセス制限機能 サーバにて保持し,1 セッションが 完了するまでもちまわる.端末アプ リケーションからのインタフェー spモード ス電文が規定された順番で連携さ れなかった場合はシーケンスエラ オープンOS端末 ーとし,不正なアプリケーションか らの割込みが発生することを防ぐ. 図 2 iD 向けスマフォ GW サーバの構成 »アクセス制限機能 iD向けスマフォGWサーバは,オ ¸FeliCaチップ更新,参照機能 込む際,iD向けスマフォGWサーバ ープン OS 端末からアクセス可能な セキュアにFeliCaチップに書き込 の後続システムとなるカード情報等 システムであるため,DoS(Denial む仕組みは,FeliCa サーバとして提 サーバ(ドコモクレジットカードシ of Service) 攻撃 などを受けるリス 供されている.iD向けスマフォGW ステム(CREMO : Credit Mobile クがある.一般的なセキュリティ防 サーバでは,クレジットカード情報 Gateway System) ,カード情報ダウ 御策は施してあるが,特定ユーザか をFeliCaサーバを用いて FeliCaチッ ンロードセンタ,ブランドダウンロ らのセキュリティ攻撃に備え,アク プへ直接書き込むことで,オープン ードセンタ)向けの通信をいったん セス制御を行うブラックリスト機 OS 端末のメモリへのクレジットカ 取りまとめ,端末アプリからの要求 能を有する.また,サービス導入前 ード情報の展開を無くし,偽造・改 に応じて各システム間インタフェー の機能確認のため,特定のオープン ざんを防止し,セキュリティを確保 ス電文を発行し,制御する. OS 端末からのみアクセス可能とす した.書込みと同様に,FeliCa チッ iD 向けスマフォ GW サーバにて, *7 るホワイトリストの機能も,併せて プに設定されているクレジットカー オープン OS 端末用端末アプリから ド情報をサーバに読み出す場合につ のインタフェース電文をフィーチ いても,本仕組みを利用すること ャーフォン向けインタフェース電 で,偽造・改ざんを防止している. 文と同形式に変換することで,iD 端末アプリケーションは,FeliCa ¹インタフェース変換機能 向けスマフォGWサーバの後続シス チップにエリアを確保し,複数のカ テムへの改修範囲を最小限に抑え ードを管理するためのアプリケー カード情報をFeliCaチップに書き 有している. 3.2 端末アプリケーション * 6 セッション:サーバとクライアントとの間 の通信の意味のあるまとまり.ここでは, カード情報書き込みシーケンスの一連の通 信をまとめて,セッションとして扱う. * 7 DoS 攻撃:対象のサービス停止を引き起 こす悪意ある攻撃. NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2 43 オープン OS 端末上のおサイフケータイにおけるクレジットサービスの開発 ションである.最大 2 枚のカードを 管理することができ,エリアの発 FeliCaチップ カード情報等 サーバ 端末アプリ FeliCaサーバ ①カード情報など要求 ● 行,カードの追加,削除などの機能 を有する. ②カード情報など応答 ● オープン OS 端末用アプリケーシ ョンの特徴としては,2 章に記載の (a)端末メモリ内に カード情報を格納 とおり仲介サーバを設け,カード情 NTT DOCOMO Technical Journal 報などは仲介サーバ上に一時蓄積 することでセキュリティの確保を (b)受け取ったカード情報を 基にICチップに書込み処 理を依頼する電文を生成 行っている. 端末アプリケーションは、主に次 ③カード情報書込み依頼 ● の2つの機能を有する. ¸FeliCaチップ更新・参照機能 ④非接触ICチップへのカード情報書込み処理 ● 本機能では,FeliCa 搭載オープン OS 端末に対し,エリアの発行,削 除,カード情報の追加,削除,更 (c)FeliCaチップへの カード情報設定完了 新,メインカードの変更,カード情 報の預入/引出など,FeliCa チップ 図3 フィーチャーフォンでのカード情報書込みシーケンス へのアクセス全般を行い,ユーザが オープン OS 端末で決済を利用可能 な状態にする.本機能を実現するに FeliCaチップ あたり,フィーチャーフォンでは端 端末アプリ iD向けスマフォ GWサーバ カード情報等 サーバ FeliCaサーバ ①-1カード情報など要求 ● ①-2 カード情報など要求 ● 末にカード情報を送信し,端末アプ ②カード情報など応答 ● リケーション側でFeliCaチップへ書 (a)iD向けスマフォGWサーバ にカード情報を格納 き込む処理をしていたが,2 章なら びに 3.1 節で記載のとおり,オープ ン OS 端末では端末のメモリ上の情 (b)受け取ったカード情報を 基にICチップに書込み処 理を依頼する電文を生成 報を改ざんされる可能性がある.そ のため,今回はクレジットカード情 ③カード情報書込み電文生成依頼 ● 報を端末アプリケーションに送信 ④カード情報書込み電文 ● ⑤カード情報書込み電文応答 ● せず,iD 向けスマフォ GW サーバ でカード情報を終端させることで, ⑥カード情報書込み電文による非接触ICチップへのカード情報書込み処理 ● オープン OS 端末のメモリにクレジ ットカード情報を展開することな く,FeliCa チップへ直接クレジット (c)FeliCaチップへの カード情報設定完了 カード情報を書き込む方式とした. 具体的なシーケンスの比較を,図 3 図4 スマートフォンでのカード情報書込みシーケンス および図 4に示す. 44 NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2 ¹カード会社ごとの固有情報表示 ーションからのインタフェース電 ォ GW サーバ)を経由しているが, 機能 文をフィーチャーフォン向けイン その仲介サーバの IP アドレスを偽 端末アプリケーションでは,最大 タフェース電文と同形式に変換す 装する DNS(Domain Name Sys- 2 枚のカード情報を管理することが ることで,改修範囲を最小限に抑え tem) サーバが存在した場合,偽装 できるが,カード会社ごとに端末ア て実現した. サーバにパスワードなどを盗みと プリケーション内で表示する文言 られ,その盗みとったパスワードな どから,不正なカード情報を設定さ がある.カード会社ごとの固有情報 3.3 その他セキュリティ確保 に関する事項 表示機能は,カード情報を設定する 現在,端末アプリケーションから LAN など他ベアラからのアクセス 際に,カード情報等サーバから各カ iD の設定を行うためには,sp モー ード会社向けの文言・画像データ ドの 3G 網経由でのアクセスを必須 などを取得することで実現してい としている. や会社のロゴなどを変更する必要 NTT DOCOMO Technical Journal *9 *8 れる恐れがあるためであり,無線 を制限することとした. 4.サービスイメージ る.本機能は,すでにフィーチャー 無線 LAN など他のベアラ から オープン OS 端末上で実現したク フォン向けに提供してきたシステ のアクセスを規制しているのは,オ レジットサービスのサービスイメ ムを最大限に有効活用するために, ープン OS 端末向けアプリケーショ ージを図 5 に,端末アプリの画面 3.1 節¹で記載のとおり,アプリケ ンでは仲介サーバ(iD 向けスマフ イメージを図 6 に示す.ユーザは, ① 利用申込 ● ● アプリダウンロード, ② カード情報設定 オープンOS端末 加盟店 ③ かざして決済 ● タントン♪ ④ 請求 ● カード会社 決済端末 ⑤ 支払 ● ※「iD」ならびにiDのロゴは,NTTドコモの商標または登録商標. 図 5 サービスイメージ * 8 ベアラ:情報を伝達する通信回線. NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2 * 9 DNS : IP ネットワーク上のホスト名と IP アドレスの対応付けを行うシステム. 45 オープン OS 端末上のおサイフケータイにおけるクレジットサービスの開発 5.あとがき 本稿では,フィーチャーフォンで 実現したセキュリティレベルを保 ちつつ,既存システムを改修する際 のインパクトを抑えた,オープン OS 端末に対応したクレジットサー NTT DOCOMO Technical Journal ビスの開発について解説した.今後 46 は,オープン OS 端末上のアプリケ ーションの自由度を生かしたサー (a)端末アプリケーショントップページ (b)カード会社ごとの固有情報表示 ビスを検討・実現していきたいと 考えている. 図6 端末アプリ画面イメージ フィーチャーフォン・オープン OS IC クレジットサービスを利用可能 端末を意識することなく,非接触 となっている. NTT DOCOMO テクニカル・ジャーナル Vol. 19 No. 2