不正行為を検知する検知方法
【課題】整備作業等によって機密データが消去されても、高いセキュリティ性を確保しつつ、簡易に通常運用状態に復帰可能な、不正行為を検知する検知方法を提供する。
【解決手段】カードリーダ1は、利用者操作端末機20の筐体4から取り外されたことを検知する取り外し検知スイッチ16と、そこからの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のRAM11と、第1のRAM11とは別個独立であって、認証用鍵データが格納される第2のRAM12と、を有し、カードリーダ1が利用者操作端末機20の筐体4から取り外された場合には、取り外し検知認識用データが消去され、その後、カードリーダ1が前記利用者操作端末機20の筐体4に取り付けられ、所定の認証手続きが完了後、認証用鍵データを変更し、変更された認証用鍵データが第2のRAM12内に格納されるとともに、第1のRAM11に取り外し検知認識用データが格納される。
【解決手段】カードリーダ1は、利用者操作端末機20の筐体4から取り外されたことを検知する取り外し検知スイッチ16と、そこからの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のRAM11と、第1のRAM11とは別個独立であって、認証用鍵データが格納される第2のRAM12と、を有し、カードリーダ1が利用者操作端末機20の筐体4から取り外された場合には、取り外し検知認識用データが消去され、その後、カードリーダ1が前記利用者操作端末機20の筐体4に取り付けられ、所定の認証手続きが完了後、認証用鍵データを変更し、変更された認証用鍵データが第2のRAM12内に格納されるとともに、第1のRAM11に取り外し検知認識用データが格納される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置等に対する不正行為を検知する検知方法に関する。
【背景技術】
【0002】
利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置においては、機密データ(例えば、暗号処理に使用する鍵データ)を、二次電源によりバックアップされている揮発性メモリに保持しておき、必要に応じてその都度、揮発性メモリから作業用メモリに機密データが読み出され、各種処理が実行される。機密データは、各種処理の実行に際して必要なものであることから、通常は消失することがないように保持されている。ただし、電子機器装置の不正取り外しなど何らかの異常を検知した際には、揮発性メモリに対する二次電源及び主電源からの電源供給を遮断して、その機密データが消去されるようになっている。なお、機密データを内部で監視しておき、これが消去されたら即座に通常動作できない状態に遷移させる機能を具備している電子機器装置もある。
【0003】
ところで、場に設置された電子機器装置を保守・整備する整備作業者は、その電子機器装置を利用者端末機の筐体から取り外さなければならない場合がある。
【0004】
このような整備作業者が保守・整備するために筐体から取り外す行為は不正行為ではないため、通常動作への復帰が必要になる。しかし、上述したように揮発性メモリに保持された機密データが消去された後、何らかの救済機能がなければ通常動作への復帰ができない。そこで、消去される機密データを分割し、取外しを検知したら消去されるデータと、その他の不正行為を検知したら消去されるデータの2種類を用意しておき、通常動作不能なセキュリティエラー状態になった場合、双方のデータを確認することで、取り外されたのか、それとも不正に分解される等の不正行為が行われたのかを区別する技術がある(例えば特許文献1では、機密データを第1の情報と第2の情報に分割している)。そして、特許文献1に示す装置では、データ消失状況から取り外し検知が要因で通常動作不能状態になっていると判断した場合には、適正な処理手続を踏むことで、通常動作可能な状態に復帰できるような仕組みを組み込んでおく。このような仕組みにより、不正行為によって取り外された場合でも、この適正な処理手続を知らなければ通常動作状態に復帰させることはできないので、高いセキュリティを確保することができる。
【0005】
【特許文献1】特開2004−310405号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に示す装置では、取り外し検知が要因で通常動作不能状態になっていると判断した場合、取り外し検知データ(取り外されたことによって消去されたデータ)を再注入する必要があるところ、これを簡単に再注入できるような構成にしてしまうと、整備作業者以外の者によって不正に取り外された場合でも、不正を組み込んだ後で通常動作可能な状態に戻すことができる可能性があるので、セキュリティ性に欠ける。一方で、セキュリティ性を確保しながら取り外し検知用のメモリに取り外し検知用データを再注入するためには、一般に複雑な手続が必要になることが多い。
【0007】
本発明は、このような点に鑑みてなされたものであり、その目的は、整備作業等によって機密データが消去されても、高いセキュリティ性を確保しつつ、簡易に通常動作状態に復帰可能な、不正行為を検知する検知方法を提供することにある。
【課題を解決するための手段】
【0008】
以上のような課題を解決するために、本発明は、以下のものを提供する。
【0009】
(1) 利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置に対する不正行為を検知する検知方法であって、前記電子機器装置は、前記筐体から取り外されたことを検知する第1の検知手段と、前記第1の検知手段からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のメモリと、前記第1のメモリとは別個独立であって、認証用鍵データが格納される第2のメモリと、を有し、前記電子機器装置が前記筐体から取り外された場合には、前記取り外し検知認識用データが消去され、その後、前記電子機器装置が前記筐体に取り付けられ、所定の認証手続きが完了後、前記認証用鍵データを変更し、変更された認証用鍵データが前記第2のメモリ内に格納されるとともに、前記第1のメモリに取り外し検知認識用データが格納されることを特徴とする不正行為を検知する検知方法。
【0010】
本発明によれば、利用者操作端末機の筐体から取り外されたことを検知する第1の検知手段が設けられた電子機器装置に、その第1の検知手段からの出力信号に基づき取り外し検知認識用データが消去される第1のメモリと、この第1のメモリとは別個独立であって認証用鍵データが格納される第2のメモリとが設けられ、電子機器装置が上位装置から取り外された場合、上述した取り外し検知認識用データが消去され、その後、電子機器装置が上位装置に取り付けられ、所定の認証手続きが完了後、上述した認証用鍵データを変更し、変更された認証用鍵データが第2のメモリ内に格納されるとともに、第1のメモリに取り外し検知認識用データが格納されることとしたので、整備作業者等による所定の認証手続きが完了するたびに、第2のメモリ内に格納される認証用鍵データが変更されることになる。
【0011】
したがって、例えば、メンテナンス(保守・整備)のために、整備作業者が電子機器装置を取り外した場合であっても、上述した所定の認証手続き(例えば整備作業者が持つ所定カードを下位装置に挿入する等)を行い、第2のメモリ内に格納される認証用鍵データを変更することで、(例えばCPUの内蔵ROM等から)第1のメモリに取り外し検知認識用データが(自動的に)再注入されるので、簡易に通常動作状態に復帰させることができる。一方で、整備作業者以外の者が不正に電子機器装置を取り外した場合には、所定の認証手続きが行われないので、通常動作状態に復帰させることができない。また、その者が第2のメモリ内の認証用鍵データを何らかの手段により解読・入手した場合であっても、整備作業者が所定の認証手続きを行って通常動作状態に復帰させたときには、第2のメモリ内の認証用鍵データは変更されており、解読・入手した認証用鍵データは使用不可能になっている。このように、本発明によれば、高いセキュリティ性を確保しつつ、簡易に通常動作状態に復帰させることができる。
【0012】
なお、「第1のメモリ」及び/又は「第2のメモリ」については、その種類の如何を問わない。例えば、RAMのような揮発性メモリであってもよいし、EEPROMやFROMのような不揮発性メモリであってもよい。前者の場合、消去時間を短縮することができる。後者の場合、不揮発性メモリ内の機密データを能動的に消去するプログラム等が別途必要になる。
【0013】
また、ここで「消去」とは、電源供給を遮断しデータを消失させる方法もあるし、「all 0xFF」や「all 0x00」に書き換える方法もある。さらに、別の特定のデータ等に書き換えてもよい。その他、乱数で書き換えてもよい。さらには、全データ領域について書き換えるのではなく、予め指定された又はランダムに選択された特定のデータ領域のみについて、データを書き換えてもよい。
【0014】
(2) 前記電子機器装置自体に不正な行為が発生した場合、前記第2のメモリに格納されている認証用鍵データが消去されることを特徴とする不正行為を検知する検知方法。
【0015】
本発明によれば、上述した電子機器装置自体に不正な行為が発生した場合、第2のメモリに格納されている認証用鍵データが消去されるので、例えば電子機器装置のカバーを取り外したり、電子機器装置に穴を開けたりするような不正な行為が発生した場合に、通常動作可能な状態に戻すことは一切できない。したがって、より高いセキュリティ性を確保することができる。
【0016】
(3) 前記第一のメモリ及び前記第2のメモリに電力供給を行う電源と、当該電源からの電力供給を制御する電源制御手段とを備え、前記第1のメモリから前記取り外し検知認識用データを消去する際、または、前記第2のメモリから前記認証用鍵データを消去する際、前記電源制御手段による電力供給の遮断によって行うことを特徴とする不正行為を検知する検知方法。
【0017】
本発明によれば、上述した第1のメモリから取り外し検知認識用データを消去する際、または、上述した第2のメモリから認証用鍵データを消去する際、電源制御手段による電力供給の遮断によって行われることとしたので、データ消去プログラム等が必要なく、より簡易なハードウェア構成で高いセキュリティ性を確保することができる。
【0018】
ここで、「電源」と「電源制御手段」については、第1のメモリ用と第2のメモリ用とそれぞれ別個に設けてもよいし、或いは、一の電源及び一の電源制御手段で両方のメモリをコントロールするようにしてもよい。また、電力供給の遮断によってデータ消去を行うので、本発明では、第1のメモリも第2のメモリも揮発性メモリとする。
【0019】
(4) 前記電子機器装置自体に不正行為が発生した場合に、当該不正行為を検知する第2の検知手段を備えることを特徴とする不正行為を検知する検知方法。
【0020】
本発明によれば、電子機器装置自体に不正行為が発生した場合に、その不正行為を検知する第2の検知手段を備えるので、例えば電子機器装置のカバーを取り外したり、電子機器装置に穴を開けたりするような不正な行為が発生した場合であっても、第2の検知手段からの検知信号に基づいて、第2のメモリに格納されている認証用鍵データを消去し、通常運用可能な状態に戻せないようにすることができる。
【0021】
(5) 前記所定の認証手続きは、前記電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることを特徴とする不正行為を検知する検知方法。
【0022】
本発明によれば、上述した所定の認証手続きは、電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることとしたので、整備作業者は簡易な手続きによって、通常運用可能な状態に戻すことができる。特に、メンテナンスカード挿入による認証手続きであれば、メンテナンスカード自体は軽く持ち運び容易であるので、高い利便性を確保することができる。
【発明の効果】
【0023】
本発明に係る不正行為を検知する検知方法によれば、整備作業者によって電子機器装置が利用者操作端末機等の筺体から取り外された後、その電子機器装置を通常運用状態に復帰させる際に、高いセキュリティ性と簡便性の両方を満たしつつ、復帰させることができる。
【発明を実施するための最良の形態】
【0024】
(第一の実施の形態)
[電子機器装置の構成]
【0025】
以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。
【0026】
図1は、本発明の実施の形態に係る不正行為を検知する検知方法で使用する利用者操作端末機20の構成を示す図である。図2は、本発明の実施の形態に係る不正行為を検知する検知方法で使用するカードリーダ1の電気的構成を示すブロック図である。なお、本実施形態では、「電子機器装置」の一例としてカードリーダ1を採用している。
【0027】
この利用者操作端末機20は、利用者が操作する、例えば、ガソリンスタンドに設置された端末機や銀行のATM等である。利用者操作端末機20の筺体4内には、図1に示すように、カードリーダ1及び上位装置2が設けられ、カードリーダ1は、ユーザがカードを挿入するためのカード挿入口13が筐体4の前面に取り付けられている。そして、カードリーダ1と上位装置2とはRS232C等の通信ケーブル5によって接続されている。
【0028】
さらに、カードリーダ1には、筐体4から不正に取り外されるタンパ行為(不正行為)を検知する第1の検知手段としての取り外し検知スイッチ16、および、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合にその不正行為を検知する第2の検知手段としてのカバー開放検知スイッチ17が備えられている。
【0029】
なお、図1において、上位装置2は利用者操作端末機20の筺体4内に備えられているが、利用者操作端末機20とは別の場所にあってもよい。
【0030】
カードリーダ1は、ICカードや磁気カード等のカード状媒体に記録されている情報を再生し、また、更新情報等をカード媒体に記録する電子機器装置である。このカードリーダ1には、CPU10と、第1のメモリとしての第1のRAM11と、第2のメモリとしての第2のRAM12と、電源制御としての第一電源制御IC18及び第二電源制御IC19と、電源としてのバックアップ電源(電池)(Back Up Battery)14と、(利用者操作端末機20の筐体4からの)取り外し検知スイッチ16と、カバー開放検知スイッチ17とを有している。なお、各構成要素は、少なくとも図中の実線(又は実線矢印)で示すバス等によって、電気的に接続されている。
【0031】
CPU10は、カードリーダ1の全体の制御を司る。すなわち、図2では図示しないROM等から初期化プログラムや基本プログラムを呼び出し、これらを実行してカードリーダ1の全体の制御を司る。また、上位装置2からのコマンドを受信して、そのコマンドに従って各種処理(アプリケーションプログラム等)を実行する。また、CPU10は、図示しないが、自身に内蔵RAM及びROMを備えている。内蔵ROMは、CPU10の制御動作を実行させるプログラムを予め格納したものであり、内臓RAMは、CPU10が演算処理に使用する各種のメモリエリアを形成するものである。
【0032】
第1の、第2の電源制御IC18,19は、主電源(Main Power Supply)3やバックアップ電源14からの電力を、それぞれ第1のRAM11,第2のRAM12に供給する。通常動作時は、主電源3からの電力を第1のRAM11,第2のRAM12に供給するが、電源OFF時には、バックアップ電源14からの電力を第1のRAM11,第2のRAM12に供給する。第1の、第2の電源制御IC18,19は、主電源3またはバックアップ電源14からの電力供給を制御(例えば遮断)する「電源制御手段」の一例として機能する。
【0033】
取り外し検知スイッチ16は、カードリーダ1が利用者操作端末機100の筐体4から取り外されたことを検知する「第1の検知手段」の一例として機能する。レバーやボタン、シートスイッチ等の(機械的な)取り外し検知スイッチ16が閉状態から開状態になると、所定の信号が第1の電源制御IC18に送られる(例えば、非0であった電流が0になったりする)。第1の電源制御IC18は、この信号に基づいて、第1のRAM11への電源供給を遮断する。
【0034】
なお、取り外し検知スイッチ16は、機械的なもの以外にも、フォトセンサ等の光学的なものであってもよいし、磁気センサ等の磁気的なものであってもよい。
【0035】
カバー開放検知スイッチ17は、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合に(カバー開放検知時は)、その不正行為を検知する「第2の検知手段」の一例として機能する。
【0036】
具体的には、カードリーダ1は、図1に示すように密閉された状態で構成されている。より詳細には、例えば、カードを挿入するカード挿入口13が形成された収納ケースとこの収納ケースの開口を覆うカバーとで密閉された状態で構成されている。この収納ケース内には、カードリーダ1の動作を制御する回路やプログラムまたはデータが格納される揮発性メモリなどが実装された回路基板、カード搬送手段や読み取り/書き込み手段などが収納されている。この収納ケースの開口をカバーが覆っている。そして、機密性の高いデータを扱うカードリーダ1では、カバーが第三者によって開けられた後、装置そのものが破壊されたり、あるいは内部に記憶されたデータが改ざんされるようなことを防ぐ必要がある。従来、このような行為を防止するために、機密性の高いデータを扱う装置において、機械的なスイッチや光学センサを設け、カバーが不正に開けられたことが検出されると、この検出信号によって内部にあるメモリのデータを破壊するという措置が講じられている。上記スイッチとしてのカバー開放検知スイッチ17は、例えば、マイクロスイッチであり、マイクロスイッチのON・OFFの切り替わりによって検知することができる。さらに、マイクロスイッチのようなカバー開放検知スイッチ17が閉状態から開状態になると、所定の信号が第2の電源制御IC19に送られる。第2の電源制御IC19は、この信号に基づいて、第2のRAM12への電源供給を遮断する。なお、カバー開放検知スイッチ17はマイクロスイッチに限定されるものではなく、これ以外のものであってもよい。
【0037】
このように、第1のRAM11から取り外し検知認識用データを消去する際、または、第2のRAM12から認証用鍵データを消去する際、それぞれ第1の、第2の電源制御IC18,19による電力供給の遮断によって行う。なお、図2では図示しないが、カードリーダ1には、EEPROMやフラッシュメモリなどがあってもよく、そこには機密データ、実行プログラム、誤り検知符号(CRC,チェックSUM,BCC)等の電子情報が格納されていてもよい。
【0038】
また、ここで消去とは、電源供給を遮断しデータを消失させる方法もあるし、「all 0xFF」や「all 0x00」に書き換える方法もある。さらに、別の特定のデータ(例えば「all 0x11」や「all 0x22」や「0x00,0x01,0x02,0x03,・・・,0x0Fの羅列の繰り返し」など)に書き換えてもよい。その他、乱数で書き換えてもよい。さらには、全データ領域について書き換えるのではなく、予め指定された又はランダムに選択された特定のデータ領域のみについて、データを書き換えてもよい。
【0039】
ここで、第1のRAM11と第2のRAM12について詳述すると、揮発性の第1のRAM11は、取り外し検知スイッチ16からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な「第1のメモリ」の一例となり、また、揮発性の第2のRAM12は、第1のRAM11とは別個独立であって、認証用鍵データが格納される「第2のメモリ」の一例となる。
【0040】
このような第1のRAM11と第2のRAM12を有するカードリーダ1によれば、例えば、メンテナンス(保守・整備)のために、整備作業者が利用者操作端末機20の筐体4からカードリーダ1を取り外した後、それを元に戻し、通常動作状態に復帰させる際、高いセキュリティ性を確保しつつ、簡易に復帰させることができる。この点を、図3(A)、(B)を用いて詳述する。
【0041】
(復旧作業)
図3(A)、(B)は、第1のRAM11に取り外し検知認識用データを再注入するまでの概要を示すブロック図である。
【0042】
図3(A)において、整備作業者は、メンテナンス(保守・整備)のためにカードリーダ1を利用者操作端末機20の筐体4からとり外した後、メンテナンスが完了したら、まず、整備作業者が保有するメンテナンスツール(専用ツール)21と上位装置2を有線または無線により接続する。そして、上位装置2からそのメンテナンスツール21に、現行の現認証用鍵データと、上位装置2内部で生成された新認証用鍵データとを注入する。これら現認証用、新認証用鍵データを注入後、メンテナンスツール21を、上位装置2から切り離す。なお、このメンテナンスツール21は、整備作業者が有するもので、後述する相互認証コマンドを実行するデータを記憶している。このメンテナンスツール21は、例えばノートPCなどであってもよい。
【0043】
続いて、メンテナンスが完了しているカードリーダ1を、利用者操作端末機20の筐体4にマウントする。そのときは、上述したように取り外し検知スイッチ16の機能により、カードリーダ1が筐体4から取り外されるまで第1のRAM11に格納されていた取り外し検知認識用データは消去されている。この時点では、カードリーダ1は、上位装置2からの全てのコマンドに対してセキュリティエラーを返し、通常動作は全くできない状態である。
【0044】
次に、図3(B)に示すように、メンテナンスツール21とカードリーダ1とを接続する。この時点では、カードリーダ1が実行可能なコマンドは、整備作業者が保有するメンテナンスツール21に実装された、メンテナンスモード専用の相互認証コマンドのみである。
【0045】
そこで、メンテナンスツール21とカードリーダ1とにそれぞれ格納されている現認証用鍵データを使って、両者の正当性を判断する相互認証が行なわれる。相互認証コマンドが正常に完了したら、認証用鍵データ変更コマンドのみ実行可能とする。
【0046】
相互認証を実行後、カードリーダ1の第2のRAM12に格納されている現認証用鍵データを、先に上位装置2から取得した新認証用鍵データに書き換える処理を実行する。この処理により、新認証用鍵データは第2のRAM12に格納される。新認証用鍵データへの変更が完了すると、カードリーダ1は自動的に、例えばCPU10の内蔵ROMなど、カードリーダ1内部で生成された取り外し検知認識用データを、取り外し検知用のメモリ(第1のRAM11)に注入する。
【0047】
[不正行為を検知する検知方法の流れ]
図4及び図5は、本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートであり、図4はカードリーダ1の、通常動作モードからメンテナンスモードへ遷移するフローチャート、図5はカードリーダ1のセキュリティメンテナンスモードでのフローチャートである。
【0048】
図4、5に示すフローチャートでは、メンテナンス(保守・整備)のために、整備作業者が利用者操作端末機20の筐体4からカードリーダ1を取り外した後、それを元に戻し、通常動作状態に復帰させる場合について説明する。そのため、カードリーダ1は、図3(B)に示すように、メンテナンスツール21に接続された状態となっている。
【0049】
なお、図4に示すステップS1からステップS7は、カードリーダ1の通常動作モードでのフローチャートであり、この状態は、カードリーダ1が、上位装置2と通信ケーブル5により接続され、利用者操作端末機20の筐体4に取り付けられている。そして、カードリーダ1は、通信ケーブル5を通じて上位装置2からのコマンドを受信し、コマンドにより要求された処理を(上述したCPU10で)実行し、処理結果を上位装置2に返信するようになっている。
【0050】
図4において、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態である(ステップS1)。
【0051】
この状態では、CPU10によって、コマンドを受信したか否かが判断される(ステップS2)。コマンドが受信されたら(ステップS2:YES)、タンパ行為が検知されたか否かが判断される(ステップS3)。取り外しやスキミング等のタンパ行為が検知された場合、エラーレスポンス(セキュリティエラー)を上位装置2へ送信する(ステップS4)。メンテナンスツール21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1は上位装置2から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。
【0052】
ステップS3に戻り、タンパ行為が検知されない場合(ステップS3:NO)、次に、取り外し検知スイッチ16を用いて取り外しが検知されたか否かが判断される(ステップS5)。取り外しが検知されなければ(ステップS5:NO)、通常動作モードのままコマンドを実行し(ステップS6)、実行結果に応じてメンテナンスツール21にレスポンスを送信する(ステップS7)。
【0053】
一方で、取り外しが検知されたら、すなわち、取り外し検知スイッチ16が動作し、カードリーダ1が筐体4から取り外されたことが検知された場合(ステップS5:YES)、上述したメンテナンスツール21からメンテナンス用の相互認証コマンド(1)が受信されたか否かが判断される(ステップS8)。相互認証コマンド(1)が受信されなければ(ステップS8NO)、エラーレスポンスがメンテナンスツール21に送信され(ステップS9)、メンテナンスツーツ21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1は上位装置2から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。ステップS8に戻り、相互認証コマンド(1)が受信されれば(ステップS8:YES),CPU10によって相互認証コマンド(1)が実行される(ステップS10)。
【0054】
そして、相互認証コマンド(1)が正常終了しなければ(ステップS11:NO)、エラーレスポンスがメンテナンスツール21に送信され(ステップS12)、メンテナンスツール21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1はメンテナンスツーツ21から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。
【0055】
ステップS10に戻り、相互認証コマンド(1)が正常終了すれば(ステップS11:YES)、肯定レスポンスがメンテナンスツール21に送信される(ステップS13)。その後、図5に示すセキュリティメンテナンスモードに入る(ステップS14)。
【0056】
図5において、セキュリティメンテナンスモードでは、まず、コマンド受信待ちの状態が続き(ステップS21)、メンテナンスツール21から送信されるコマンドの受信があれば(ステップS22:YES)、それがメンテナンス用の相互認証コマンド(2)か否かが判断される(ステップS23)。そして、相互認証コマンド(2)であれば(ステップS23:YES)、相互認証コマンド(2)が実行され(ステップS24)、正常終了したか否かが判断される(ステップS25)。正常終了しなかった場合には(ステップS25:NO)、メンテナンスツール21にエラーレスポンスを送信し、セキュリティメンテナンスモードを離脱する(ステップS26)。すなわち、カードリーダ1は図4に示すステップS1のコマンド待ち状態に戻る。
【0057】
なお、相互認証コマンド(1)、(2)は、メンテナンスツール21がカードリーダ1に各種の動作を指示する際、指示されたカードリーダ1が正当であるかどうかを確認するためのコマンドであるが、本実施の形態では、相互認証コマンド(1)と相互認証コマンド(2)とは別のコマンドとして、セキュリティ性を高めている。また、本実施の形態では、相互認証コマンド(2)しか考えていないが、セキュリティ性を更に高めるのであれば、これら相互認証コマンド(1)、(2)とは別の相互認証コマンド(3)や相互認証コマンド(4)など、順次3重4重の相互認証を行ってもよい。
【0058】
一方、正常終了した場合には(ステップS25:YES)、相互認証が確立するため、すなわち、カードリーダ1の正当性が認められるため(ステップS27)、カードリーダ1はメンテナンスツール21からコマンド受信待ちとなる(ステップS28)。
【0059】
カードリーダ1は、メンテナンスツール21から送信されるコマンドを受信し(ステップS29)、そのコマンドが認証用鍵データ変更コマンドである場合には(ステップS30:YES)、CPU10によって認証用鍵データ変更コマンドが実行される。すなわち、メンテナンスツール21を介して、メンテナンスツール21から取得した新認証用鍵データが第2のRAM12に格納される(ステップS31)。
【0060】
正常終了した場合、すなわち、メンテナンスツール21から取得した新認証用鍵データが第2のRAM12に格納された場合には(ステップS32:YES)、CPU10は、(カードリーダ1内部)CPU10で生成した新取り外し検知認識用データを、第1のRAM11に書き込む(ステップS34)。最後に、新認証用鍵データ及び新取り外し検知認識用データを収納したことを示す肯定レスポンスをメンテナンスツーツ21に送信し、セキュリティメンテナンスモードを離脱し、通常動作モードに入り、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態に戻る(ステップS35)。
【0061】
ステップS32に戻り、正常終了しなかった場合には(ステップS32:NO)、メンテナンスツール21にエラーレスポンスを送信し、セキュリティメンテナンスモードを離脱し、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態になる(ステップS33)。これにより、カードリーダ1は通常動作状態に復帰したことになり、メンテナンスツール21との接続が切り離され、上位装置2と接続される。図4に示すコマンド待ち(ステップS1)の状態になる。
【0062】
[実施形態の主な効果]
以上説明したように、本実施形態に係る不正行為を検知する検知方法によれば、カードリーダ1が利用者操作端末機20の筐体4から取り外された場合には、取り外し検知スイッチ16により取り外し検知認識用データが消去され、その後、カードリーダ1が利用者操作端末機20の筐体4に取り付けられ、所定の認証手続きが完了後(上述したステップS8,S10,S23,S24)、認証用鍵データを変更し(ステップS31)、変更された認証用鍵データが第2のRAM12内に格納されるとともに(ステップS34)、第1のRAM11に取り外し検知認識用データが格納される。一方、カードリーダ1自体に不正な行為(タンパ行為)が発生した場合(ステップS3:YES)、第2のRAM12に格納されている認証用鍵データが消去される。したがって、簡易に(機器認証と鍵データ変更のみという比較的シンプルな処理手続で)通常運用状態に復帰させつつ、高いセキュリティ性を確保することができる。たとえば、犯罪者が何らかの手段により現在格納されている認証用鍵データを解読・入手できたとしても、ひとたび不正機能を組み込もうとして取り外したら、次回取り付け時にはその認証用鍵データは無効であり、通信回線を盗聴しても暗号を解読することができず、顧客情報の入手などを防ぐことができる。その結果、高いセキュリティ性を保ちつつ通常動作への復旧が可能となる。
【0063】
[他の実施形態]
(第二の実施の形態)
電子機器装置としてのカードリーダ1が上位装置2からの新認証用鍵データを取得する方法は、セキュリティの確保を条件として、どのような形態であっても構わない。上述した第一の実施形態では、例えばノートPCなどの専用のメンテナンスツール21を用いた構成としたが、セキュリティの確保を条件として、この形態に限るものではない。たとえば、上位装置2から直接メンテナンス専用相互認証・認証用鍵データ変更コマンドを実行する形態としてもよい。このとき、上位装置2とカードリーダ1がメンテナンスモードに入らないと、この処理が実行できないものとし、整備作業者が保有するメンテナンスカードを用意する。そして、そのメンテナンスカードをカードリーダ1に挿入することで、上位装置2とカードリーダ1がメンテナンスモードに入ることができるような仕組みを組み込んでもよい。このように、メンテナンスカードが挿入されることによって、所定の認証手続き(相互認証など)が行われるようにしてもよい。
【0064】
(第三の実施の形態)
通常の相互認証もメンテナンスモードでの相互認証も、その他のタンパ検知用メモリ(第2のRAM12)に格納された認証用鍵データのみを利用していると、通常運用中に何らかの手段で認証用鍵データを解読・入手されたとしたら、メンテナンスモードで認証用鍵データを変更する際の一連の処理も解読されてしまう虞がある。そこで、次のような方法を採用することで、セキュリティ性をより向上させることができる。
【0065】
たとえば、複数の鍵データを組み合わせたキーコンポーネント(Key Component)を生成して、取り外しを検知する第1のRAM11に注入するようにし、通常の相互認証は組み合わせたものを使用する。一方、取り外し検知状態でのメンテナンスモードでは、もう一方の「タンパを検知する第2のRAM12」に残されたキーコンポーネントで相互認証を行う。取り外しを検知する第1のRAM11に格納するキーコンポーネントとしては、全号機固定値、新認証用鍵データを所定方法(スクランブル等)で変形させたもの、各号機ごと異なるが固定値(シリアルナンバー等)、ランダム値(CPU10により生成)などが挙げられる。最後のランダム値については、何らかの手段でそのランダム値を上位装置2とカードリーダ1に共有させる必要がある。
【0066】
このように、通常動作の際には、カードリーダ1と上位装置2との通信は、第1のRAM11のキーコンポーネントと第2のRAM12の認証用鍵データとの両方を使って(例えばEXORなど)行う。このようにすれば、カードリーダ1の取り外しによって第1のRAM11のデータが消去された場合であっても、整備作業者以外は通常運用に復旧できないことになり、セキュリティ性をより向上させることができる。
【0067】
また、本実施形態では、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合に、カバー開放検知スイッチ17からの検知信号に基づいて、第2のRAM12への電源供給を遮断するようにしたが、これに限定されるわけではない。たとえば、カバー開放検知スイッチ17からの検知信号に基づいて適切な緊急停止処置を施し、通常運用可能な状態に戻せないようにするようにしてもよい。
【0068】
なお、本実施形態では、「電子機器装置」の一例としてカードリーダ1を採用しているが、本発明はこれに限られず、不正な取り外し操作等に対して機密データを保護する必要がある全ての電子機器装置に適用可能である。また、単純な不正取り外しに限らず、メンテナンスのために有効化/無効化を切り替える機能を有する装置についても適用可能である。
【産業上の利用可能性】
【0069】
本発明に係る不正行為を検知する検知方法は、高いセキュリティ性を確保しつつ、簡易に通常運用への復旧が可能なものとして有用である。
【図面の簡単な説明】
【0070】
【図1】本発明の実施の形態に係る不正行為を検知する検知方法で使用する利用者操作端末機の構成を示す図である。
【図2】本発明の実施の形態に係る不正行為を検知する検知方法で使用するカードリーダの電気的構成を示すブロック図である。
【図3】RAMに取り外し検知認識用データを再注入するまでの概要を示すブロック図である。
【図4】本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートである。
【図5】本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートである。
【符号の説明】
【0071】
1 カードリーダ
2 上位装置
4 筺体
10 CPU
14 バックアップ電源
16 取り外し検知スイッチ
17 カバー開放検知スイッチ
18 第1の電源制御IC
19 第2の電源制御IC
20 利用者操作端末機
【技術分野】
【0001】
本発明は、利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置等に対する不正行為を検知する検知方法に関する。
【背景技術】
【0002】
利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置においては、機密データ(例えば、暗号処理に使用する鍵データ)を、二次電源によりバックアップされている揮発性メモリに保持しておき、必要に応じてその都度、揮発性メモリから作業用メモリに機密データが読み出され、各種処理が実行される。機密データは、各種処理の実行に際して必要なものであることから、通常は消失することがないように保持されている。ただし、電子機器装置の不正取り外しなど何らかの異常を検知した際には、揮発性メモリに対する二次電源及び主電源からの電源供給を遮断して、その機密データが消去されるようになっている。なお、機密データを内部で監視しておき、これが消去されたら即座に通常動作できない状態に遷移させる機能を具備している電子機器装置もある。
【0003】
ところで、場に設置された電子機器装置を保守・整備する整備作業者は、その電子機器装置を利用者端末機の筐体から取り外さなければならない場合がある。
【0004】
このような整備作業者が保守・整備するために筐体から取り外す行為は不正行為ではないため、通常動作への復帰が必要になる。しかし、上述したように揮発性メモリに保持された機密データが消去された後、何らかの救済機能がなければ通常動作への復帰ができない。そこで、消去される機密データを分割し、取外しを検知したら消去されるデータと、その他の不正行為を検知したら消去されるデータの2種類を用意しておき、通常動作不能なセキュリティエラー状態になった場合、双方のデータを確認することで、取り外されたのか、それとも不正に分解される等の不正行為が行われたのかを区別する技術がある(例えば特許文献1では、機密データを第1の情報と第2の情報に分割している)。そして、特許文献1に示す装置では、データ消失状況から取り外し検知が要因で通常動作不能状態になっていると判断した場合には、適正な処理手続を踏むことで、通常動作可能な状態に復帰できるような仕組みを組み込んでおく。このような仕組みにより、不正行為によって取り外された場合でも、この適正な処理手続を知らなければ通常動作状態に復帰させることはできないので、高いセキュリティを確保することができる。
【0005】
【特許文献1】特開2004−310405号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に示す装置では、取り外し検知が要因で通常動作不能状態になっていると判断した場合、取り外し検知データ(取り外されたことによって消去されたデータ)を再注入する必要があるところ、これを簡単に再注入できるような構成にしてしまうと、整備作業者以外の者によって不正に取り外された場合でも、不正を組み込んだ後で通常動作可能な状態に戻すことができる可能性があるので、セキュリティ性に欠ける。一方で、セキュリティ性を確保しながら取り外し検知用のメモリに取り外し検知用データを再注入するためには、一般に複雑な手続が必要になることが多い。
【0007】
本発明は、このような点に鑑みてなされたものであり、その目的は、整備作業等によって機密データが消去されても、高いセキュリティ性を確保しつつ、簡易に通常動作状態に復帰可能な、不正行為を検知する検知方法を提供することにある。
【課題を解決するための手段】
【0008】
以上のような課題を解決するために、本発明は、以下のものを提供する。
【0009】
(1) 利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置に対する不正行為を検知する検知方法であって、前記電子機器装置は、前記筐体から取り外されたことを検知する第1の検知手段と、前記第1の検知手段からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のメモリと、前記第1のメモリとは別個独立であって、認証用鍵データが格納される第2のメモリと、を有し、前記電子機器装置が前記筐体から取り外された場合には、前記取り外し検知認識用データが消去され、その後、前記電子機器装置が前記筐体に取り付けられ、所定の認証手続きが完了後、前記認証用鍵データを変更し、変更された認証用鍵データが前記第2のメモリ内に格納されるとともに、前記第1のメモリに取り外し検知認識用データが格納されることを特徴とする不正行為を検知する検知方法。
【0010】
本発明によれば、利用者操作端末機の筐体から取り外されたことを検知する第1の検知手段が設けられた電子機器装置に、その第1の検知手段からの出力信号に基づき取り外し検知認識用データが消去される第1のメモリと、この第1のメモリとは別個独立であって認証用鍵データが格納される第2のメモリとが設けられ、電子機器装置が上位装置から取り外された場合、上述した取り外し検知認識用データが消去され、その後、電子機器装置が上位装置に取り付けられ、所定の認証手続きが完了後、上述した認証用鍵データを変更し、変更された認証用鍵データが第2のメモリ内に格納されるとともに、第1のメモリに取り外し検知認識用データが格納されることとしたので、整備作業者等による所定の認証手続きが完了するたびに、第2のメモリ内に格納される認証用鍵データが変更されることになる。
【0011】
したがって、例えば、メンテナンス(保守・整備)のために、整備作業者が電子機器装置を取り外した場合であっても、上述した所定の認証手続き(例えば整備作業者が持つ所定カードを下位装置に挿入する等)を行い、第2のメモリ内に格納される認証用鍵データを変更することで、(例えばCPUの内蔵ROM等から)第1のメモリに取り外し検知認識用データが(自動的に)再注入されるので、簡易に通常動作状態に復帰させることができる。一方で、整備作業者以外の者が不正に電子機器装置を取り外した場合には、所定の認証手続きが行われないので、通常動作状態に復帰させることができない。また、その者が第2のメモリ内の認証用鍵データを何らかの手段により解読・入手した場合であっても、整備作業者が所定の認証手続きを行って通常動作状態に復帰させたときには、第2のメモリ内の認証用鍵データは変更されており、解読・入手した認証用鍵データは使用不可能になっている。このように、本発明によれば、高いセキュリティ性を確保しつつ、簡易に通常動作状態に復帰させることができる。
【0012】
なお、「第1のメモリ」及び/又は「第2のメモリ」については、その種類の如何を問わない。例えば、RAMのような揮発性メモリであってもよいし、EEPROMやFROMのような不揮発性メモリであってもよい。前者の場合、消去時間を短縮することができる。後者の場合、不揮発性メモリ内の機密データを能動的に消去するプログラム等が別途必要になる。
【0013】
また、ここで「消去」とは、電源供給を遮断しデータを消失させる方法もあるし、「all 0xFF」や「all 0x00」に書き換える方法もある。さらに、別の特定のデータ等に書き換えてもよい。その他、乱数で書き換えてもよい。さらには、全データ領域について書き換えるのではなく、予め指定された又はランダムに選択された特定のデータ領域のみについて、データを書き換えてもよい。
【0014】
(2) 前記電子機器装置自体に不正な行為が発生した場合、前記第2のメモリに格納されている認証用鍵データが消去されることを特徴とする不正行為を検知する検知方法。
【0015】
本発明によれば、上述した電子機器装置自体に不正な行為が発生した場合、第2のメモリに格納されている認証用鍵データが消去されるので、例えば電子機器装置のカバーを取り外したり、電子機器装置に穴を開けたりするような不正な行為が発生した場合に、通常動作可能な状態に戻すことは一切できない。したがって、より高いセキュリティ性を確保することができる。
【0016】
(3) 前記第一のメモリ及び前記第2のメモリに電力供給を行う電源と、当該電源からの電力供給を制御する電源制御手段とを備え、前記第1のメモリから前記取り外し検知認識用データを消去する際、または、前記第2のメモリから前記認証用鍵データを消去する際、前記電源制御手段による電力供給の遮断によって行うことを特徴とする不正行為を検知する検知方法。
【0017】
本発明によれば、上述した第1のメモリから取り外し検知認識用データを消去する際、または、上述した第2のメモリから認証用鍵データを消去する際、電源制御手段による電力供給の遮断によって行われることとしたので、データ消去プログラム等が必要なく、より簡易なハードウェア構成で高いセキュリティ性を確保することができる。
【0018】
ここで、「電源」と「電源制御手段」については、第1のメモリ用と第2のメモリ用とそれぞれ別個に設けてもよいし、或いは、一の電源及び一の電源制御手段で両方のメモリをコントロールするようにしてもよい。また、電力供給の遮断によってデータ消去を行うので、本発明では、第1のメモリも第2のメモリも揮発性メモリとする。
【0019】
(4) 前記電子機器装置自体に不正行為が発生した場合に、当該不正行為を検知する第2の検知手段を備えることを特徴とする不正行為を検知する検知方法。
【0020】
本発明によれば、電子機器装置自体に不正行為が発生した場合に、その不正行為を検知する第2の検知手段を備えるので、例えば電子機器装置のカバーを取り外したり、電子機器装置に穴を開けたりするような不正な行為が発生した場合であっても、第2の検知手段からの検知信号に基づいて、第2のメモリに格納されている認証用鍵データを消去し、通常運用可能な状態に戻せないようにすることができる。
【0021】
(5) 前記所定の認証手続きは、前記電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることを特徴とする不正行為を検知する検知方法。
【0022】
本発明によれば、上述した所定の認証手続きは、電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることとしたので、整備作業者は簡易な手続きによって、通常運用可能な状態に戻すことができる。特に、メンテナンスカード挿入による認証手続きであれば、メンテナンスカード自体は軽く持ち運び容易であるので、高い利便性を確保することができる。
【発明の効果】
【0023】
本発明に係る不正行為を検知する検知方法によれば、整備作業者によって電子機器装置が利用者操作端末機等の筺体から取り外された後、その電子機器装置を通常運用状態に復帰させる際に、高いセキュリティ性と簡便性の両方を満たしつつ、復帰させることができる。
【発明を実施するための最良の形態】
【0024】
(第一の実施の形態)
[電子機器装置の構成]
【0025】
以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。
【0026】
図1は、本発明の実施の形態に係る不正行為を検知する検知方法で使用する利用者操作端末機20の構成を示す図である。図2は、本発明の実施の形態に係る不正行為を検知する検知方法で使用するカードリーダ1の電気的構成を示すブロック図である。なお、本実施形態では、「電子機器装置」の一例としてカードリーダ1を採用している。
【0027】
この利用者操作端末機20は、利用者が操作する、例えば、ガソリンスタンドに設置された端末機や銀行のATM等である。利用者操作端末機20の筺体4内には、図1に示すように、カードリーダ1及び上位装置2が設けられ、カードリーダ1は、ユーザがカードを挿入するためのカード挿入口13が筐体4の前面に取り付けられている。そして、カードリーダ1と上位装置2とはRS232C等の通信ケーブル5によって接続されている。
【0028】
さらに、カードリーダ1には、筐体4から不正に取り外されるタンパ行為(不正行為)を検知する第1の検知手段としての取り外し検知スイッチ16、および、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合にその不正行為を検知する第2の検知手段としてのカバー開放検知スイッチ17が備えられている。
【0029】
なお、図1において、上位装置2は利用者操作端末機20の筺体4内に備えられているが、利用者操作端末機20とは別の場所にあってもよい。
【0030】
カードリーダ1は、ICカードや磁気カード等のカード状媒体に記録されている情報を再生し、また、更新情報等をカード媒体に記録する電子機器装置である。このカードリーダ1には、CPU10と、第1のメモリとしての第1のRAM11と、第2のメモリとしての第2のRAM12と、電源制御としての第一電源制御IC18及び第二電源制御IC19と、電源としてのバックアップ電源(電池)(Back Up Battery)14と、(利用者操作端末機20の筐体4からの)取り外し検知スイッチ16と、カバー開放検知スイッチ17とを有している。なお、各構成要素は、少なくとも図中の実線(又は実線矢印)で示すバス等によって、電気的に接続されている。
【0031】
CPU10は、カードリーダ1の全体の制御を司る。すなわち、図2では図示しないROM等から初期化プログラムや基本プログラムを呼び出し、これらを実行してカードリーダ1の全体の制御を司る。また、上位装置2からのコマンドを受信して、そのコマンドに従って各種処理(アプリケーションプログラム等)を実行する。また、CPU10は、図示しないが、自身に内蔵RAM及びROMを備えている。内蔵ROMは、CPU10の制御動作を実行させるプログラムを予め格納したものであり、内臓RAMは、CPU10が演算処理に使用する各種のメモリエリアを形成するものである。
【0032】
第1の、第2の電源制御IC18,19は、主電源(Main Power Supply)3やバックアップ電源14からの電力を、それぞれ第1のRAM11,第2のRAM12に供給する。通常動作時は、主電源3からの電力を第1のRAM11,第2のRAM12に供給するが、電源OFF時には、バックアップ電源14からの電力を第1のRAM11,第2のRAM12に供給する。第1の、第2の電源制御IC18,19は、主電源3またはバックアップ電源14からの電力供給を制御(例えば遮断)する「電源制御手段」の一例として機能する。
【0033】
取り外し検知スイッチ16は、カードリーダ1が利用者操作端末機100の筐体4から取り外されたことを検知する「第1の検知手段」の一例として機能する。レバーやボタン、シートスイッチ等の(機械的な)取り外し検知スイッチ16が閉状態から開状態になると、所定の信号が第1の電源制御IC18に送られる(例えば、非0であった電流が0になったりする)。第1の電源制御IC18は、この信号に基づいて、第1のRAM11への電源供給を遮断する。
【0034】
なお、取り外し検知スイッチ16は、機械的なもの以外にも、フォトセンサ等の光学的なものであってもよいし、磁気センサ等の磁気的なものであってもよい。
【0035】
カバー開放検知スイッチ17は、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合に(カバー開放検知時は)、その不正行為を検知する「第2の検知手段」の一例として機能する。
【0036】
具体的には、カードリーダ1は、図1に示すように密閉された状態で構成されている。より詳細には、例えば、カードを挿入するカード挿入口13が形成された収納ケースとこの収納ケースの開口を覆うカバーとで密閉された状態で構成されている。この収納ケース内には、カードリーダ1の動作を制御する回路やプログラムまたはデータが格納される揮発性メモリなどが実装された回路基板、カード搬送手段や読み取り/書き込み手段などが収納されている。この収納ケースの開口をカバーが覆っている。そして、機密性の高いデータを扱うカードリーダ1では、カバーが第三者によって開けられた後、装置そのものが破壊されたり、あるいは内部に記憶されたデータが改ざんされるようなことを防ぐ必要がある。従来、このような行為を防止するために、機密性の高いデータを扱う装置において、機械的なスイッチや光学センサを設け、カバーが不正に開けられたことが検出されると、この検出信号によって内部にあるメモリのデータを破壊するという措置が講じられている。上記スイッチとしてのカバー開放検知スイッチ17は、例えば、マイクロスイッチであり、マイクロスイッチのON・OFFの切り替わりによって検知することができる。さらに、マイクロスイッチのようなカバー開放検知スイッチ17が閉状態から開状態になると、所定の信号が第2の電源制御IC19に送られる。第2の電源制御IC19は、この信号に基づいて、第2のRAM12への電源供給を遮断する。なお、カバー開放検知スイッチ17はマイクロスイッチに限定されるものではなく、これ以外のものであってもよい。
【0037】
このように、第1のRAM11から取り外し検知認識用データを消去する際、または、第2のRAM12から認証用鍵データを消去する際、それぞれ第1の、第2の電源制御IC18,19による電力供給の遮断によって行う。なお、図2では図示しないが、カードリーダ1には、EEPROMやフラッシュメモリなどがあってもよく、そこには機密データ、実行プログラム、誤り検知符号(CRC,チェックSUM,BCC)等の電子情報が格納されていてもよい。
【0038】
また、ここで消去とは、電源供給を遮断しデータを消失させる方法もあるし、「all 0xFF」や「all 0x00」に書き換える方法もある。さらに、別の特定のデータ(例えば「all 0x11」や「all 0x22」や「0x00,0x01,0x02,0x03,・・・,0x0Fの羅列の繰り返し」など)に書き換えてもよい。その他、乱数で書き換えてもよい。さらには、全データ領域について書き換えるのではなく、予め指定された又はランダムに選択された特定のデータ領域のみについて、データを書き換えてもよい。
【0039】
ここで、第1のRAM11と第2のRAM12について詳述すると、揮発性の第1のRAM11は、取り外し検知スイッチ16からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な「第1のメモリ」の一例となり、また、揮発性の第2のRAM12は、第1のRAM11とは別個独立であって、認証用鍵データが格納される「第2のメモリ」の一例となる。
【0040】
このような第1のRAM11と第2のRAM12を有するカードリーダ1によれば、例えば、メンテナンス(保守・整備)のために、整備作業者が利用者操作端末機20の筐体4からカードリーダ1を取り外した後、それを元に戻し、通常動作状態に復帰させる際、高いセキュリティ性を確保しつつ、簡易に復帰させることができる。この点を、図3(A)、(B)を用いて詳述する。
【0041】
(復旧作業)
図3(A)、(B)は、第1のRAM11に取り外し検知認識用データを再注入するまでの概要を示すブロック図である。
【0042】
図3(A)において、整備作業者は、メンテナンス(保守・整備)のためにカードリーダ1を利用者操作端末機20の筐体4からとり外した後、メンテナンスが完了したら、まず、整備作業者が保有するメンテナンスツール(専用ツール)21と上位装置2を有線または無線により接続する。そして、上位装置2からそのメンテナンスツール21に、現行の現認証用鍵データと、上位装置2内部で生成された新認証用鍵データとを注入する。これら現認証用、新認証用鍵データを注入後、メンテナンスツール21を、上位装置2から切り離す。なお、このメンテナンスツール21は、整備作業者が有するもので、後述する相互認証コマンドを実行するデータを記憶している。このメンテナンスツール21は、例えばノートPCなどであってもよい。
【0043】
続いて、メンテナンスが完了しているカードリーダ1を、利用者操作端末機20の筐体4にマウントする。そのときは、上述したように取り外し検知スイッチ16の機能により、カードリーダ1が筐体4から取り外されるまで第1のRAM11に格納されていた取り外し検知認識用データは消去されている。この時点では、カードリーダ1は、上位装置2からの全てのコマンドに対してセキュリティエラーを返し、通常動作は全くできない状態である。
【0044】
次に、図3(B)に示すように、メンテナンスツール21とカードリーダ1とを接続する。この時点では、カードリーダ1が実行可能なコマンドは、整備作業者が保有するメンテナンスツール21に実装された、メンテナンスモード専用の相互認証コマンドのみである。
【0045】
そこで、メンテナンスツール21とカードリーダ1とにそれぞれ格納されている現認証用鍵データを使って、両者の正当性を判断する相互認証が行なわれる。相互認証コマンドが正常に完了したら、認証用鍵データ変更コマンドのみ実行可能とする。
【0046】
相互認証を実行後、カードリーダ1の第2のRAM12に格納されている現認証用鍵データを、先に上位装置2から取得した新認証用鍵データに書き換える処理を実行する。この処理により、新認証用鍵データは第2のRAM12に格納される。新認証用鍵データへの変更が完了すると、カードリーダ1は自動的に、例えばCPU10の内蔵ROMなど、カードリーダ1内部で生成された取り外し検知認識用データを、取り外し検知用のメモリ(第1のRAM11)に注入する。
【0047】
[不正行為を検知する検知方法の流れ]
図4及び図5は、本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートであり、図4はカードリーダ1の、通常動作モードからメンテナンスモードへ遷移するフローチャート、図5はカードリーダ1のセキュリティメンテナンスモードでのフローチャートである。
【0048】
図4、5に示すフローチャートでは、メンテナンス(保守・整備)のために、整備作業者が利用者操作端末機20の筐体4からカードリーダ1を取り外した後、それを元に戻し、通常動作状態に復帰させる場合について説明する。そのため、カードリーダ1は、図3(B)に示すように、メンテナンスツール21に接続された状態となっている。
【0049】
なお、図4に示すステップS1からステップS7は、カードリーダ1の通常動作モードでのフローチャートであり、この状態は、カードリーダ1が、上位装置2と通信ケーブル5により接続され、利用者操作端末機20の筐体4に取り付けられている。そして、カードリーダ1は、通信ケーブル5を通じて上位装置2からのコマンドを受信し、コマンドにより要求された処理を(上述したCPU10で)実行し、処理結果を上位装置2に返信するようになっている。
【0050】
図4において、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態である(ステップS1)。
【0051】
この状態では、CPU10によって、コマンドを受信したか否かが判断される(ステップS2)。コマンドが受信されたら(ステップS2:YES)、タンパ行為が検知されたか否かが判断される(ステップS3)。取り外しやスキミング等のタンパ行為が検知された場合、エラーレスポンス(セキュリティエラー)を上位装置2へ送信する(ステップS4)。メンテナンスツール21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1は上位装置2から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。
【0052】
ステップS3に戻り、タンパ行為が検知されない場合(ステップS3:NO)、次に、取り外し検知スイッチ16を用いて取り外しが検知されたか否かが判断される(ステップS5)。取り外しが検知されなければ(ステップS5:NO)、通常動作モードのままコマンドを実行し(ステップS6)、実行結果に応じてメンテナンスツール21にレスポンスを送信する(ステップS7)。
【0053】
一方で、取り外しが検知されたら、すなわち、取り外し検知スイッチ16が動作し、カードリーダ1が筐体4から取り外されたことが検知された場合(ステップS5:YES)、上述したメンテナンスツール21からメンテナンス用の相互認証コマンド(1)が受信されたか否かが判断される(ステップS8)。相互認証コマンド(1)が受信されなければ(ステップS8NO)、エラーレスポンスがメンテナンスツール21に送信され(ステップS9)、メンテナンスツーツ21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1は上位装置2から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。ステップS8に戻り、相互認証コマンド(1)が受信されれば(ステップS8:YES),CPU10によって相互認証コマンド(1)が実行される(ステップS10)。
【0054】
そして、相互認証コマンド(1)が正常終了しなければ(ステップS11:NO)、エラーレスポンスがメンテナンスツール21に送信され(ステップS12)、メンテナンスツール21へエラーレスポンス(セキュリティエラー)を送信後、カードリーダ1はメンテナンスツーツ21から送信されるコマンドを待つコマンド待ち状態(ステップS1)に戻る。
【0055】
ステップS10に戻り、相互認証コマンド(1)が正常終了すれば(ステップS11:YES)、肯定レスポンスがメンテナンスツール21に送信される(ステップS13)。その後、図5に示すセキュリティメンテナンスモードに入る(ステップS14)。
【0056】
図5において、セキュリティメンテナンスモードでは、まず、コマンド受信待ちの状態が続き(ステップS21)、メンテナンスツール21から送信されるコマンドの受信があれば(ステップS22:YES)、それがメンテナンス用の相互認証コマンド(2)か否かが判断される(ステップS23)。そして、相互認証コマンド(2)であれば(ステップS23:YES)、相互認証コマンド(2)が実行され(ステップS24)、正常終了したか否かが判断される(ステップS25)。正常終了しなかった場合には(ステップS25:NO)、メンテナンスツール21にエラーレスポンスを送信し、セキュリティメンテナンスモードを離脱する(ステップS26)。すなわち、カードリーダ1は図4に示すステップS1のコマンド待ち状態に戻る。
【0057】
なお、相互認証コマンド(1)、(2)は、メンテナンスツール21がカードリーダ1に各種の動作を指示する際、指示されたカードリーダ1が正当であるかどうかを確認するためのコマンドであるが、本実施の形態では、相互認証コマンド(1)と相互認証コマンド(2)とは別のコマンドとして、セキュリティ性を高めている。また、本実施の形態では、相互認証コマンド(2)しか考えていないが、セキュリティ性を更に高めるのであれば、これら相互認証コマンド(1)、(2)とは別の相互認証コマンド(3)や相互認証コマンド(4)など、順次3重4重の相互認証を行ってもよい。
【0058】
一方、正常終了した場合には(ステップS25:YES)、相互認証が確立するため、すなわち、カードリーダ1の正当性が認められるため(ステップS27)、カードリーダ1はメンテナンスツール21からコマンド受信待ちとなる(ステップS28)。
【0059】
カードリーダ1は、メンテナンスツール21から送信されるコマンドを受信し(ステップS29)、そのコマンドが認証用鍵データ変更コマンドである場合には(ステップS30:YES)、CPU10によって認証用鍵データ変更コマンドが実行される。すなわち、メンテナンスツール21を介して、メンテナンスツール21から取得した新認証用鍵データが第2のRAM12に格納される(ステップS31)。
【0060】
正常終了した場合、すなわち、メンテナンスツール21から取得した新認証用鍵データが第2のRAM12に格納された場合には(ステップS32:YES)、CPU10は、(カードリーダ1内部)CPU10で生成した新取り外し検知認識用データを、第1のRAM11に書き込む(ステップS34)。最後に、新認証用鍵データ及び新取り外し検知認識用データを収納したことを示す肯定レスポンスをメンテナンスツーツ21に送信し、セキュリティメンテナンスモードを離脱し、通常動作モードに入り、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態に戻る(ステップS35)。
【0061】
ステップS32に戻り、正常終了しなかった場合には(ステップS32:NO)、メンテナンスツール21にエラーレスポンスを送信し、セキュリティメンテナンスモードを離脱し、カードリーダ1はメンテナンスツール21から送信されるコマンドを待つコマンド待ち状態になる(ステップS33)。これにより、カードリーダ1は通常動作状態に復帰したことになり、メンテナンスツール21との接続が切り離され、上位装置2と接続される。図4に示すコマンド待ち(ステップS1)の状態になる。
【0062】
[実施形態の主な効果]
以上説明したように、本実施形態に係る不正行為を検知する検知方法によれば、カードリーダ1が利用者操作端末機20の筐体4から取り外された場合には、取り外し検知スイッチ16により取り外し検知認識用データが消去され、その後、カードリーダ1が利用者操作端末機20の筐体4に取り付けられ、所定の認証手続きが完了後(上述したステップS8,S10,S23,S24)、認証用鍵データを変更し(ステップS31)、変更された認証用鍵データが第2のRAM12内に格納されるとともに(ステップS34)、第1のRAM11に取り外し検知認識用データが格納される。一方、カードリーダ1自体に不正な行為(タンパ行為)が発生した場合(ステップS3:YES)、第2のRAM12に格納されている認証用鍵データが消去される。したがって、簡易に(機器認証と鍵データ変更のみという比較的シンプルな処理手続で)通常運用状態に復帰させつつ、高いセキュリティ性を確保することができる。たとえば、犯罪者が何らかの手段により現在格納されている認証用鍵データを解読・入手できたとしても、ひとたび不正機能を組み込もうとして取り外したら、次回取り付け時にはその認証用鍵データは無効であり、通信回線を盗聴しても暗号を解読することができず、顧客情報の入手などを防ぐことができる。その結果、高いセキュリティ性を保ちつつ通常動作への復旧が可能となる。
【0063】
[他の実施形態]
(第二の実施の形態)
電子機器装置としてのカードリーダ1が上位装置2からの新認証用鍵データを取得する方法は、セキュリティの確保を条件として、どのような形態であっても構わない。上述した第一の実施形態では、例えばノートPCなどの専用のメンテナンスツール21を用いた構成としたが、セキュリティの確保を条件として、この形態に限るものではない。たとえば、上位装置2から直接メンテナンス専用相互認証・認証用鍵データ変更コマンドを実行する形態としてもよい。このとき、上位装置2とカードリーダ1がメンテナンスモードに入らないと、この処理が実行できないものとし、整備作業者が保有するメンテナンスカードを用意する。そして、そのメンテナンスカードをカードリーダ1に挿入することで、上位装置2とカードリーダ1がメンテナンスモードに入ることができるような仕組みを組み込んでもよい。このように、メンテナンスカードが挿入されることによって、所定の認証手続き(相互認証など)が行われるようにしてもよい。
【0064】
(第三の実施の形態)
通常の相互認証もメンテナンスモードでの相互認証も、その他のタンパ検知用メモリ(第2のRAM12)に格納された認証用鍵データのみを利用していると、通常運用中に何らかの手段で認証用鍵データを解読・入手されたとしたら、メンテナンスモードで認証用鍵データを変更する際の一連の処理も解読されてしまう虞がある。そこで、次のような方法を採用することで、セキュリティ性をより向上させることができる。
【0065】
たとえば、複数の鍵データを組み合わせたキーコンポーネント(Key Component)を生成して、取り外しを検知する第1のRAM11に注入するようにし、通常の相互認証は組み合わせたものを使用する。一方、取り外し検知状態でのメンテナンスモードでは、もう一方の「タンパを検知する第2のRAM12」に残されたキーコンポーネントで相互認証を行う。取り外しを検知する第1のRAM11に格納するキーコンポーネントとしては、全号機固定値、新認証用鍵データを所定方法(スクランブル等)で変形させたもの、各号機ごと異なるが固定値(シリアルナンバー等)、ランダム値(CPU10により生成)などが挙げられる。最後のランダム値については、何らかの手段でそのランダム値を上位装置2とカードリーダ1に共有させる必要がある。
【0066】
このように、通常動作の際には、カードリーダ1と上位装置2との通信は、第1のRAM11のキーコンポーネントと第2のRAM12の認証用鍵データとの両方を使って(例えばEXORなど)行う。このようにすれば、カードリーダ1の取り外しによって第1のRAM11のデータが消去された場合であっても、整備作業者以外は通常運用に復旧できないことになり、セキュリティ性をより向上させることができる。
【0067】
また、本実施形態では、カードリーダ1のカバーが取り外される(開放される)不正行為が発生した場合に、カバー開放検知スイッチ17からの検知信号に基づいて、第2のRAM12への電源供給を遮断するようにしたが、これに限定されるわけではない。たとえば、カバー開放検知スイッチ17からの検知信号に基づいて適切な緊急停止処置を施し、通常運用可能な状態に戻せないようにするようにしてもよい。
【0068】
なお、本実施形態では、「電子機器装置」の一例としてカードリーダ1を採用しているが、本発明はこれに限られず、不正な取り外し操作等に対して機密データを保護する必要がある全ての電子機器装置に適用可能である。また、単純な不正取り外しに限らず、メンテナンスのために有効化/無効化を切り替える機能を有する装置についても適用可能である。
【産業上の利用可能性】
【0069】
本発明に係る不正行為を検知する検知方法は、高いセキュリティ性を確保しつつ、簡易に通常運用への復旧が可能なものとして有用である。
【図面の簡単な説明】
【0070】
【図1】本発明の実施の形態に係る不正行為を検知する検知方法で使用する利用者操作端末機の構成を示す図である。
【図2】本発明の実施の形態に係る不正行為を検知する検知方法で使用するカードリーダの電気的構成を示すブロック図である。
【図3】RAMに取り外し検知認識用データを再注入するまでの概要を示すブロック図である。
【図4】本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートである。
【図5】本発明の実施の形態に係る不正行為を検知する検知方法の流れを示すフローチャートである。
【符号の説明】
【0071】
1 カードリーダ
2 上位装置
4 筺体
10 CPU
14 バックアップ電源
16 取り外し検知スイッチ
17 カバー開放検知スイッチ
18 第1の電源制御IC
19 第2の電源制御IC
20 利用者操作端末機
【特許請求の範囲】
【請求項1】
利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置に対する不正行為を検知する検知方法であって、
前記電子機器装置は、
前記筐体から取り外されたことを検知する第1の検知手段と、
前記第1の検知手段からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のメモリと、
前記第1のメモリとは別個独立であって、認証用鍵データが格納される第2のメモリと、を有し、
前記電子機器装置が前記筐体から取り外された場合には、前記取り外し検知認識用データが消去され、その後、前記電子機器装置が前記筐体に取り付けられ、所定の認証手続きが完了後、前記認証用鍵データを変更し、変更された認証用鍵データが前記第2のメモリ内に格納されるとともに、前記第1のメモリに取り外し検知認識用データが格納されることを特徴とする、不正行為を検知する検知方法。
【請求項2】
前記電子機器装置自体に不正な行為が発生した場合、前記第2のメモリに格納されている認証用鍵データが消去されることを特徴とする請求項1記載の不正行為を検知する検知方法。
【請求項3】
前記第1のメモリ及び前記第2のメモリに電力供給を行う電源と、当該電源からの電力供給を制御する電源制御手段とを備え、
前記第1のメモリから前記取り外し検知認識用データを消去する際、または、前記第2のメモリから前記認証用鍵データを消去する際、前記電源制御手段による電力供給の遮断によって行うことを特徴とする請求項1又は2記載の不正行為を検知する検知方法。
【請求項4】
前記電子機器装置自体に不正行為が発生した場合に、当該不正行為を検知する第2の検知手段を備えることを特徴とする請求項1から3のいずれか記載の不正行為を検知する検知方法。
【請求項5】
前記所定の認証手続きは、前記電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることを特徴とする請求項1から4のいずれか記載の不正行為を検知する検知方法。
【請求項1】
利用者が操作を行うための利用者操作端末機の筐体に取り付けられた電子機器装置に対する不正行為を検知する検知方法であって、
前記電子機器装置は、
前記筐体から取り外されたことを検知する第1の検知手段と、
前記第1の検知手段からの出力信号に基づいて、格納されている取り外し検知認識用データを消去可能な第1のメモリと、
前記第1のメモリとは別個独立であって、認証用鍵データが格納される第2のメモリと、を有し、
前記電子機器装置が前記筐体から取り外された場合には、前記取り外し検知認識用データが消去され、その後、前記電子機器装置が前記筐体に取り付けられ、所定の認証手続きが完了後、前記認証用鍵データを変更し、変更された認証用鍵データが前記第2のメモリ内に格納されるとともに、前記第1のメモリに取り外し検知認識用データが格納されることを特徴とする、不正行為を検知する検知方法。
【請求項2】
前記電子機器装置自体に不正な行為が発生した場合、前記第2のメモリに格納されている認証用鍵データが消去されることを特徴とする請求項1記載の不正行為を検知する検知方法。
【請求項3】
前記第1のメモリ及び前記第2のメモリに電力供給を行う電源と、当該電源からの電力供給を制御する電源制御手段とを備え、
前記第1のメモリから前記取り外し検知認識用データを消去する際、または、前記第2のメモリから前記認証用鍵データを消去する際、前記電源制御手段による電力供給の遮断によって行うことを特徴とする請求項1又は2記載の不正行為を検知する検知方法。
【請求項4】
前記電子機器装置自体に不正行為が発生した場合に、当該不正行為を検知する第2の検知手段を備えることを特徴とする請求項1から3のいずれか記載の不正行為を検知する検知方法。
【請求項5】
前記所定の認証手続きは、前記電子機器装置にメンテナンスツールが接続され、または、メンテナンスカードが挿入されることによって、行われることを特徴とする請求項1から4のいずれか記載の不正行為を検知する検知方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−18247(P2011−18247A)
【公開日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願番号】特願2009−163203(P2009−163203)
【出願日】平成21年7月9日(2009.7.9)
【出願人】(000002233)日本電産サンキョー株式会社 (1,337)
【Fターム(参考)】
【公開日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願日】平成21年7月9日(2009.7.9)
【出願人】(000002233)日本電産サンキョー株式会社 (1,337)
【Fターム(参考)】
[ Back to top ]