ICカードの耐タンパ性(Tamper Resistance)
はじめに
2025年10月のプロジェクトマネージャ試験受験を終え、2026年春の情報処理安全確保支援士に向けて勉強中です。
本記事を含めた各知識のインデックスや学習の道のりについては、「情報処理安全確保支援士への道のり(随時更新中)」をご参照ください。
本記事は学習した内容を記載しています。
該当問題
ICカードとは
ICカードとは、IC(集積回路)を内蔵し、内部で演算/記憶/暗号処理を行うカードです。
代表例:
- クレジットカード(EMV)
- マイナンバーカード
- 住基カード
- 社員証/学生証
- SIMカード
ICカードは、秘密鍵/個人情報/認証情報を内部に保持するため、「盗難」「解析」「分解」に耐えることが強く求められます。
耐タンパ性とは何か
定義(エビデンス:ISO/IEC 15408, FIPS 140)
**耐タンパ性(Tamper Resistance)**とは、ICカードに対する物理的/電気的/環境的な不正操作(タンパリング)を検知/妨害/無効化する性質を指します。
重要なのは「完全に防ぐ」ではなく、下記の考え方です。
- 攻撃を 困難にする
- 攻撃を 検知する
- 攻撃されたら 情報を破壊する
タンパリング攻撃とは
想定される攻撃手法
| 攻撃手法 | 内容 |
|---|---|
| 物理解析 | ICチップを削る/剥がす |
| プロービング | 微細針で信号線を直接観測 |
| 電圧操作 | 電圧異常で誤動作を誘発 |
| クロック操作 | 動作タイミングをずらす |
| 温度操作 | 高温/低温による誤動作 |
| 電磁波解析 | 漏洩電磁波から秘密鍵推定 |
→ ICカードは「攻撃される前提」で設計される
ICカードの耐タンパ対策(本問の核心)
物理的耐タンパ対策
- 樹脂封止(チップを完全に覆う)
- 多層配線構造
- 配線のランダム配置
→ チップを削ると 内部配線が破壊される
センサによる検知
ICカード内部には以下のセンサが搭載されます。
| センサ | 検知内容 |
|---|---|
| 電圧センサ | 異常電圧 |
| クロックセンサ | 異常周波数 |
| 温度センサ | 高温/低温 |
| 光センサ | 封止破壊(光侵入) |
→ 異常を検知すると即座に処理停止/メモリ消去
自己破壊/無効化機構
- 秘密鍵を即座に消去
- ICカードを使用不能にする
- 再利用不可にする
→ 情報漏えいより「カード破壊」を優先
なぜ「壊れてもよい」のか
ICカードの耐タンパ性は、可用性よりも機密性を最優先します。
- カードが壊れる → 利用者が再発行
- 鍵が漏れる → 全システム破綻
→ 「壊れてもいいが、漏れてはいけない」
耐タンパ性と暗号モジュール評価
FIPS 140-2/140-3(エビデンス)
米国NISTが定める暗号モジュールの安全性基準です。
ICカードは Level 3 以上 を満たす設計が多いです。
| レベル | 特徴 |
|---|---|
| Level 1 | 基本要件 |
| Level 2 | 改ざん検知 |
| Level 3 | 耐タンパ性(秘密鍵保護) |
| Level 4 | 環境攻撃耐性(最強) |
Common Criteria(ISO/IEC 15408)との関係
ICカードは CC 評価において、下記が評価対象となります。
- TOE:ICカード
- セキュリティ機能要件:
- 物理的攻撃耐性
- サイドチャネル耐性
- 自己破壊機構
関連知識
耐タンパ性 vs 耐改ざん性
| 用語 | 意味 |
|---|---|
| 耐タンパ性 | 物理攻撃への耐性 |
| 耐改ざん性 | 不正変更の防止 |
サイドチャネル攻撃との関係
- 電力解析
- 電磁波解析
- タイミング攻撃
→ 耐タンパ設計は サイドチャネル対策とも密接