RFID スマートアクセスカードの脆弱性の暴露

はじめにRFIDアクセス・システムの隠れたリスク

RFIDスマートアクセスカードは、オフィス、ホテル、交通機関、公共インフラにおける安全な入館に広く使用されている。

しかし、その利便性の裏には重大な脅威が潜んでいる。レガシーシステム、特にMIFAREクラシック技術に基づいて構築されたシステムのセキュリティ脆弱性である。

最近の調査で、これらの一般的なカードは驚くほど簡単にクローン作成が可能であることが判明した。

アン RFIDスマートアクセスカードは、無線周波数識別（RFID）を使用してリーダと通信する非接触型クレデンシャルである。これらのカードは通常

互換性のあるリーダーに提示すると、カードは一意の識別子（UID）または暗号化されたデータを送信し、アクセスを許可または拒否する。

洗練されていないRFIDカード（特にHID ProxのようなLFタイプ）は、Flipper ZeroやProxmark3のような安価なデバイスを使って簡単にクローンすることができる。攻撃者はUIDをキャプチャし、別のカードにコピーする。

RFIDシステムの中には、データを暗号化せずに送信するものがある。近くにいる攻撃者は、隠されたリーダーを使用して信号を「スキミング」し、カード所有者に知られることなくクレデンシャルを盗むことができる。

攻撃者は、セキュリティが不十分なシステムで有効な送信を記録し、後でそれを再生してアクセスすることができる。これにより、データを解読したり理解したりする必要なく、認証をバイパスすることができる。

MIFARE Classicのような古いカードは弱い暗号(CRYPTO1)を使用していることが知られており、現在ではクラックされ安全でない。多くのシステムは時代遅れの技術に依存し続けている。

静的UID（相互認証や暗号化保護なし）のみに依存するカードは、特になりすましに対して脆弱である。

アクセス・カードの脆弱性が懸念される一方で、RFIDは産業用トラッキングにおいて依然として大きな価値を提供している。一例として、カスタム・キャビネット・メーカーであるBishop Cabinets社は、生産を通じて部品を追跡するためにRFIDを導入した。

この対比は、RFIDを安全に導入すれば、業務効率を大幅に改善できることを浮き彫りにしている。-しかし、時代遅れのチップセットは、アクセス・コントロールに真の危険をもたらす.

次のような強力な暗号を持つカードを使用する：

これらは、相互認証、AES暗号化、クローン作成防止のためのローリング・キーを提供する。

スマートカードとPINコード、バイオメトリクス、モバイル認証を組み合わせて、さらなる保護レイヤーを追加する。

すべての試行を記録し、重複または疑わしいカード入力にフラグを立てる入退室管理システムを設置する。

公共スペースでのスキミングを防ぐため、従業員バッジにRFID遮断スリーブやポーチを使用する。

定期的に入退室管理システムを監査する。古くなったカード（例：HID Prox、MIFARE Classic）を安全な代替品と交換する。

カードの種類	セキュリティレベル	暗号化	クローン・リスク
HIDプロックス（125 kHz）	🔴 低い	なし	非常に高い
MIFAREクラシック	🟠 ミディアム-ロー	弱い（CRYPTO1）	高い
ＮＴＡＧ２１３	🜎 ミディアム	パスワードで保護	適度
DESFire EV2/EV3	🟢 高い	AES-128	低い
iCLASS SE	🟢 高い	AES / セキュア・アイデンティティ	低い