「RFIDタグもウイルスに感染」、研究者が警告

ウイルスに感染したRFIDタグを付けた手荷物が、世界中の空港に感染を広める――蘭大学の研究者はこのような例を挙げ、RFIDタグにウイルスを感染する方法を披露した。

[ITmedia]

　あなたの猫はコンピュータウイルスに感染していませんか――？

　蘭アムステルダム自由大学の研究者らは今週、ペットや商品に取り付けられたRFIDタグがウイルスに感染する恐れがあるとする論文を、イタリアで開催のIEEE PerCom 2006で発表した。

　彼らは、RFIDタグにコンピュータウイルスを感染させる方法を発見したとしている。これまでは、RFIDはメモリ容量が限られているため、このようなことは不可能だと考えられてきたという。

　同校コンピュータサイエンス学部博士課程のメラニー・リーバック氏は、PerComで「Is Your Cat Infected with a Computer Virus」と題した論文を発表した。この論文は、RFIDタグを使って、RFIDアプリケーションで使われているデータベース（例えばスーパーマーケットの製品と価格のデータベース）を攻撃する方法を説明している。この攻撃は、バッファオーバーフローやSQLインジェクションなど、PCウイルス・ワームが悪用するのと同様の弱点を突き、同じようなダメージを与えるという。

　感染したRFIDタグ1個をシステムに投入すれば、ウイルスは感染を広げられる。同氏は次のようなシナリオを例として紹介した。

　「2006年5月、1カ月に200万個の手荷物を扱うラスベガス空港では、手荷物処理を迅速化するためにRFIDタグを導入する。悪意を持った攻撃者が、ウイルスに感染したRFIDタグを自分の（あるいは他人の）スーツケースに付ける。スーツケースはベルトコンベアで運ばれながらRFIDリーダーでスキャンされる。このスキャンだけで、ウイルスが空港の手荷物データベースに感染し、その後チェックされた手荷物はすべて感染したラベルを受け取ることになる。これらの荷物はほかの空港に着くと、再びスキャンされる。24時間以内に世界中の数百の空港が感染する」

　密輸業者やテロリストがこの手法を使って、荷物の中身を隠すこともできるだろうと研究者らは述べている。

　ただし、彼らはこの手法に対抗する手段はたくさんあるとしている。リーバック氏の論文は、RFID開発者はバウンドチェックやバックエンドスクリプトの無効化、パラメータバインディングなどのセキュリティ対策を取る必要があると主張している。