JP6249302B2 - 取引端末装置およびタンパ検知装置 - Google Patents

取引端末装置およびタンパ検知装置 Download PDF

Info

Publication number
JP6249302B2
JP6249302B2 JP2015249566A JP2015249566A JP6249302B2 JP 6249302 B2 JP6249302 B2 JP 6249302B2 JP 2015249566 A JP2015249566 A JP 2015249566A JP 2015249566 A JP2015249566 A JP 2015249566A JP 6249302 B2 JP6249302 B2 JP 6249302B2
Authority
JP
Japan
Prior art keywords
tamper detection
abnormality
tamper
conductor
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015249566A
Other languages
English (en)
Other versions
JP2017117057A (ja
Inventor
松本 正人
正人 松本
誠一 山田
誠一 山田
邦巳 綴木
邦巳 綴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2015249566A priority Critical patent/JP6249302B2/ja
Publication of JP2017117057A publication Critical patent/JP2017117057A/ja
Application granted granted Critical
Publication of JP6249302B2 publication Critical patent/JP6249302B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、タンパ検知用導電体の異常によりタンパを検知する取引端末装置およびタンパ検知装置に関するものである。
クレジットカードやデビットカードなどによるキャッシュレスでの決済に用いられる取引端末装置、いわゆるモバイル決済端末では、暗証番号が入力キーを用いて入力され、また、決済センタやICカードとの間の通信などに用いられる暗号鍵がメモリに保持されている。そこで、取引端末装置に対する攻撃行為、いわゆるタンパを検知して、暗証番号や暗号鍵などの機密情報が盗み取られて不正利用されることを防止する必要がある。
このようなタンパにより機密情報が盗み取られることを防止する、すなわち、耐タンパ性を確保する技術として、従来、機密情報を保持するメモリなどの電子部品が配置されたセキュリティエリアの周囲に、導電線を波形状に配したタンパ検知パターンを設けて、タンパにより発生するタンパ検知パターンの断線やショートによりタンパを検知するようにして、タンパが検知されると、メモリに保持されている機密情報を消去する技術が知られている(特許文献1,2参照)。
特開2013−3979号公報 特開2008−33593号公報
さて、前記従来の技術のように、タンパ検知パターンによりタンパを検知する場合、出荷時には、断線が発生していない正常な状態でも、ユーザが使用するうちにタンパ検知パターンに断線が発生して、タンパの誤検知が発生することが想定される。このようなタンパの誤検知が発生すると、以後、装置を使用することができなくなることから、タンパの誤検知を回避する必要がある。
特に、タンパ検知パターンを可撓性のシート材に形成して、所要の形状に撓ませることができるようにしたセキュリティシートを用いると、タンパ検知パターンの配置の自由度が向上するが、タンパを確実に検知するためにセキュリティシートを比較的脆弱に形成すると、組み付け時のシートの変形により、タンパ検知パターンが断線の寸前の状態となる場合があり、この場合、出荷後にタンパ検知パターンに断線が発生してタンパの誤検知が発生しやすくなる。
本発明は、このような従来技術の問題点を解消するべく案出されたものであり、その主な目的は、タンパの誤検知により装置を使用することができなくなる不具合を回避することができるように構成された取引端末装置およびタンパ検知装置を提供することにある。
本発明の取引端末装置は、タンパ検知用導電体の異常によりタンパを検知する取引端末装置であって、前記タンパ検知用導電体と、このタンパ検知用導電体における異常によりタンパを検知するタンパ検知部と、を備え、前記タンパ検知部は、前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知し、このタンパ検知部での異常の予兆の検知結果に関する情報を外部に出力する構成とする。
また、本発明のタンパ検知装置は、タンパ検知用導電体の異常によりタンパを検知するタンパ検知装置であって、前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知する構成とする。
本発明によれば、タンパ検知用導電体が異常の寸前の状態にあることを異常の予兆として検知して、その検知結果に関する情報を外部に出力するため、タンパ検知用導電体が異常の寸前の状態から異常な状態に変化してタンパの誤検知が発生する前に、装置の交換や修理などの必要な対策をとることができ、取引端末装置が突然使用できなくなる不都合を回避することができる。
本実施形態に係る取引端末装置1の斜視図 取引端末装置1の背面図 取引端末装置1の縦断面図 セキュリティモジュール38の縦断面図 セキュリティモジュール38の要部斜視図 セキュリティモジュール38に設けられるタンパ検知パターン61およびタンパ検知スイッチ62を説明する説明図 タンパ検知パターン61の異常およびその予兆を検知するための構成を示す回路図 異常検知時におけるタンパ検知部68の入出力ポートの状態を示す説明図 異常予兆検知時におけるタンパ検知部68の入出力ポートの状態を示す説明図 取引端末装置1の概略構成を示す機能ブロック図 タンパ検知パターン61の異常およびその予兆を検知するための構成の変形例を示す回路図 タンパ検知パターン61の異常およびその予兆を検知するための構成の変形例を示す回路図 第2実施形態に係るタンパ検知パターン61の異常およびその予兆を検知するための構成を示す回路図
前記課題を解決するためになされた第1の発明は、タンパ検知用導電体の異常によりタンパを検知する取引端末装置であって、前記タンパ検知用導電体と、このタンパ検知用導電体における異常によりタンパを検知するタンパ検知部と、を備え、前記タンパ検知部は、前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知し、このタンパ検知部での異常の予兆の検知結果に関する情報を外部に出力する構成とする。
これによると、タンパ検知用導電体が異常の寸前の状態にあることを異常の予兆として検知して、その検知結果に関する情報を外部に出力するため、タンパ検知用導電体が異常の寸前の状態から異常な状態に変化してタンパの誤検知が発生する前に、装置の交換や修理などの必要な対策をとることができ、取引端末装置が突然使用できなくなる不都合を回避することができる。
また、第2の発明は、さらに、前記タンパ検知用導電体に接続された分圧用抵抗を備え、前記タンパ検知部は、前記タンパ検知用導電体の抵抗値に対応する電圧を抵抗分圧により測定し、この電圧の測定値に基づいて、前記タンパ検知用導電体における異常の予兆を検知する構成とする。
これによると、タンパ検知用導電体における異常の予兆、例えば、タンパ検知用導電体が断線の寸前の状態であることを精度よく検知することができる。
また、第3の発明は、前記タンパ検知用導電体は、複数系統設けられ、前記タンパ検知部は、各系統の前記タンパ検知用導電体における異常を検知するために、前記タンパ検知用導電体に対して前記異常検知用の信号の出力および入力を行う2つの入出力ポートを系統ごとに備え、前記分圧用抵抗は、各系統の前記タンパ検知用導電体と前記タンパ検知部とを結ぶ2つの入出力ラインの少なくとも一方に設けられ、異なる系統の前記タンパ検知用導電体の入出力ラインを相互に接続する橋絡ラインが設けられ、検知対象となる系統の前記入出力ポートと、前記橋絡ラインを介して接続された別系統の前記入出力ポートとを用いて、前記異常予兆検知用の信号として高電圧の信号および低電圧の信号を前記タンパ検知部から前記タンパ検知用導電体に出力するとともに、これに応じて前記タンパ検知用導電体から出力される信号を前記タンパ検知部に入力させる構成とする。
これによると、検知対象となるタンパ検知パターンとは別系統のタンパ検知パターンの入出力ポートを利用するため、異常予兆検知専用の入出力ポートを確保する必要がなく、構成を簡素化することができる。
また、第4の発明は、前記タンパ検知用導電体は、波形状に導電線を配したタンパ検知パターンである構成とする。
これによると、タンパ検知パターンが断線の寸前の状態であることを異常の予兆として検知することができる。
また、第5の発明は、前記タンパ検知用導電体は、1対の電極と、この1対の電極を導通させる導電部とにより構成され、前記導電部は、2つの部材の間に挟み込まれた組み立て状態における弾性変形部の弾性変形による付勢力により、前記電極に接触した導通状態に保持される構成とする。
これによると、弾性変形部の付勢力が不足して導通状態が解除される寸前の状態であることを異常の予兆として検知することができる。なお、この場合、攻撃行為により2つの部材のいずれかが取り外されることで、電極の導通状態が解除されることにより、タンパを検知する。
また、第6の発明は、タンパ検知用導電体の異常によりタンパを検知するタンパ検知装置であって、前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知する構成とする。
これによると、タンパ検知用導電体における異常の予兆を検知することができる。
以下、本発明の実施の形態を、図面を参照しながら説明する。
(第1実施形態)
図1は、本実施形態に係る取引端末装置1の斜視図である。図2は、図1に示した取引端末装置1の背面図である。図3は、図1に示した取引端末装置1の縦断面図である。
図1に示すように、この取引端末装置1は、クレジットカードやデビットカードなどとしての磁気カードC1、接触型ICカードC2、および非接触型ICカード(図示せず)などを用いてキャッシュレスで決済を行うモバイル決済端末であり、筐体2の前面3に、表示入力パネル4と、キーパッド部5と、が配置されている。
筐体2は、アッパーケース2aおよびロアーケース2bで構成されている。表示入力パネル4は、液晶表示パネルとタッチパネルとを組み合わせた、いわゆるタッチパネルディスプレイである。この表示入力パネル4は、その周縁部を枠パネル7で覆われるように設けられている。キーパッド部5には、複数の操作キー、具体的には電源キーと、テンキーおよびファンクションキーなどの入力キーとが配列されている。また、筐体2の側面部分には、電源プラグおよびメモリカードスロットを覆うカバー6が設けられている。
図2に示すように、筐体2の背面側には、カメラ8と、スピーカ9と、接続端子10と、が設けられている。カメラ8は、バーコードなどを撮影するものである。スピーカ9は、アラーム音などの音声を出力するものである。接続端子10は、図示しないクレードルの接続端子に接続されて、充電用の電力を供給するものである。
図3に示すように、この取引端末装置1は、感熱式のプリンタ12と、磁気カードリーダ13と、接触型ICカードリーダ14と、を備えている。プリンタ12では、記録紙をロール状に巻いたロール紙RPから引き出された記録紙に印字が行われて排紙口16から排出される。磁気カードリーダ13は、筐体2に設けられたカードスロット17に挿入された磁気カードC1を読み取るものである(図1参照)。接触型ICカードリーダ14は、筐体2に設けられたカードスロット18に挿入された接触型ICカードC2を読み取るものである(図1参照)。
また、筐体2の内部には、NFCアンテナ21と、通信モジュール22と、バッテリー23と、が設けられている。NFCアンテナ21は、NFC(近距離無線通信)により電子マネー機能を備えた非接触型ICカードなどとの間で通信を行うものである。通信モジュール22は、決済処理システムのサーバなどとの間で無線通信を行うものである。
バッテリー23は、取引端末装置1の各部に給電するものである。このバッテリー23が収容されるバッテリー収容部24には、バッテリー23を出し入れするための開口を閉鎖するバッテリーカバー25が設けられている。
このように取引端末装置1は、磁気カード、接触型ICカード、非接触型ICカードなどを用いてキャッシュレスで決済が行われ、その決済の内容を記録した控票を印字することができる。このほか、取引端末装置1では、IDカードを用いたユーザ認証、例えば取引端末装置1の使用者を認証する機能を備えたものとしてもよい。
また、筐体2の内部における表示入力パネル4の背面側には、メイン基板31と、サブ基板32と、が設けられている。このメイン基板31およびサブ基板32には、取引端末装置1の各部を制御するための各種の電子部品が実装されている。例えば、メイン基板31には、表示入力パネル4を構成する液晶表示パネルおよびタッチパネルが接続され、それらの制御を行う電子部品が実装されている。
また、筐体2の内部におけるキーパッド部5の背面側には、タッチセンサ基板34と、セキュリティエリアメイン基板35と、が配置されており、これらの基板34,35と、これらの基板34,35の間隔に保持するためのフレーム部材36とが、磁気カードリーダ13と接触型ICカードリーダ14とともに、モジュールケース37に収容されて、セキュリティモジュール38を構成している。
次に、図3に示したセキュリティモジュール38について説明する。図4は、セキュリティモジュール38の縦断面図である。図5は、セキュリティモジュール38の要部斜視図である。
図4に示すように、このセキュリティモジュール38では、モジュールケース37の前面の開口部を閉鎖するようにタッチセンサ基板34が配置され、このタッチセンサ基板34の前面には、機密情報を入力する複数の入力キー41が配列されたキーシート43が配置されている。なお、キーシート43およびタッチセンサ基板34との間には、メタルドームシート(図示せず)が配置されており、このメタルドームシートと、キーシート43と、タッチセンサ基板34とでキーパッド部5が構成される。
タッチセンサ基板34では、入力キー41の操作を検出する静電容量式のタッチセンサが表面に設けられている。また、タッチセンサ基板34の裏面側には、タッチセンサの出力信号を処理する制御回路などが実装されている。
セキュリティエリアメイン基板35には、暗証番号や暗号鍵などの機密情報を記憶するフラッシュメモリなどの電子部品が実装されている。また、セキュリティエリアメイン基板35には、以下に説明するタンパ検知パターンに電気的に接続されて、タンパを検知するタンパ検知部としてのプロセッサが実装されている。
タッチセンサ基板34およびセキュリティエリアメイン基板35には、導電線を波形に配置したタンパ検知パターンが設けられている。
フレーム部材36は、タッチセンサ基板34およびセキュリティエリアメイン基板35を所定の間隔をおいて対向配置した状態に支持するものである。このフレーム部材36には、タンパ検知パターンが設けられたセキュリティシート55が、タッチセンサ基板34およびセキュリティエリアメイン基板35とで区画された空間の外周部を周回するように貼り付けられている(図5参照)。
セキュリティシート55は、PETなどの合成樹脂材料からなる可撓性のシート材上に銀ペーストなどの導電性材料を用いてタンパ検知パターンを印刷により形成することで得ることができる。
これにより、タッチセンサ基板34およびセキュリティエリアメイン基板35とで区画されたセキュリティエリアが、タンパ検知パターンを備えたタッチセンサ基板34とセキュリティエリアメイン基板35とセキュリティシート55とで周囲を覆われた状態となっており、これらの部材に設けられたタンパ検知パターンにより、タッチセンサ基板34およびセキュリティエリアメイン基板35に実装された電子部品や、接触型ICカードリーダ14が保護され、機密情報を記憶するフラッシュメモリの記憶情報や、入力キー41による入力情報や、接触型ICカードリーダ14による読み取り情報を盗み取る攻撃行為に対して、耐タンパ性を確保することができる。
また、モジュールケース37では、セキュリティモジュール38に関する耐タンパ性を確保する観点から弱点となる部位、具体的には、モジュールケース37におけるバッテリー収容部24(図3参照)に面した部分の内面に、セキュリティシート58が貼り付けられている。これにより、磁気カードリーダ13が保護され、磁気カードリーダ13による読み取り情報を盗み取る攻撃行為に対して、耐タンパ性を確保することができる。
次に、図4に示したセキュリティモジュール38に設けられるタンパ検知パターン61およびタンパ検知スイッチ62について説明する。図6は、セキュリティモジュール38に設けられるタンパ検知パターン61およびタンパ検知スイッチ62を説明する説明図である。
本実施形態では、セキュリティモジュール38のタッチセンサ基板34、セキュリティエリアメイン基板35、フレーム部材36に貼り付けられるセキュリティシート55、およびモジュールケース37に貼り付けられるセキュリティシート58にそれぞれタンパ検知パターン61が設けられており、合計で4系統のタンパ検知パターン61を備えている。これらのタンパ検知パターン61では、導電線(タンパ検知ライン)が波形状に配されている。
また、タッチセンサ基板34およびセキュリティエリアメイン基板35の各タンパ検知パターン61には、タンパ検知スイッチ62が直列で接続されている。このタンパ検知スイッチ62は、タッチセンサ基板34およびセキュリティエリアメイン基板35に設けられた1対の電極63と、スイッチ部材64とで構成されている。
スイッチ部材64は、タッチセンサ基板34とセキュリティエリアメイン基板35との間に挟み込まれるように設けられ、1対の電極63を導通させる導電部65と、タッチセンサ基板34とセキュリティエリアメイン基板35との間に挟み込まれた組み立て状態における弾性変形による付勢力により導電部65を電極63に接触させた導通状態に保持する弾性変形部66とを有している。
したがって、タッチセンサ基板34やセキュリティエリアメイン基板35を取り外す攻撃行為が行われると、タンパ検知スイッチ62がオフとなる、すなわち電極63の導通状態が解除されることで、タンパを検知することができる。
各タンパ検知パターン61は、タンパ検知部68に接続されている。このタンパ検知部68は、プロセッサで構成され、複数の入出力ポートが設けられており、タンパ検知時には、出力ポートからタンパ検知パターン61にハイ/ロー信号を出力し、これに応じた信号がタンパ検知パターン61から入力ポートに入力され、この出力信号および入力信号に基づいて、タンパ検知パターン61の断線や、タンパ検知スイッチ62のオフ状態を検出する。
したがって、タッチセンサ基板34やセキュリティエリアメイン基板35に穴を開けたり、フレーム部材36に貼り付けられたセキュリティシート55を破断したり、モジュールケース37に貼り付けられるセキュリティシート58に穴を開けたりするなどの攻撃行為により、タンパ検知パターン61に断線が発生すると、タンパ検知部68においてタンパが検知される。また、タッチセンサ基板34やセキュリティエリアメイン基板35を取り外して第1のセキュリティエリアが開封されると、タンパ検知スイッチ62がオフとなり、タンパ検知パターン61に断線が発生した場合と同様に、タンパ検知部68においてタンパが検知される。
ここで、セキュリティシート55,58では、タンパを確実に検知するために、タンパ検知パターン61が形成される可撓性のシート材が、通常のフレキシブル基板に用いられるものより脆弱で、比較的小さな外力で破断するように形成されている。このため、組み立て時にシートが変形しやすく、このシートの変形により、タンパ検知パターン61が断線の寸前の状態となっている場合もある。この場合、出荷時には、タンパ検知パターン61に断線が発生していない正常な状態でも、ユーザが使用するうちに断線が発生して、タンパの誤検知が発生することが想定される。
また、タンパ検知スイッチ62では、弾性変形部66の弾性変形による付勢力により導電部65を電極63に接触させた導通状態に保持するようにしており、弾性変形部66の寸法が正規の値より小さく形成されていると、弾性変形部66の付勢力が不足しているため、出荷時には、導電部65が電極63に接触した導通状態に保持された正常な状態でも、ユーザが使用するうちに弾性変形部66がわずかに劣化しただけで導通状態が解除されて、タンパの誤検知が発生することが想定される。
そこで、本実施形態では、タンパ検知パターン61が断線の寸前の状態にあることを、タンパ検知パターン61の異常の予兆として検知する。また、タンパ検知スイッチ62の導通状態が解除される寸前の状態にあることを、タンパ検知スイッチ62の異常の予兆として検知する。
次に、図6に示したタンパ検知パターン61の異常およびその予兆を検知するための構成について説明する。図7は、タンパ検知パターン61の異常およびその予兆を検知するための構成を示す回路図である。
タンパ検知部68は、プロセッサで構成され、複数の入出力ポートを備えている。この入出力ポートは、いわゆる汎用入出力ポート(GPIO:General Purpose Input/Output)であり、出力、入力、アナログ入力、オープンのいずれかに切り替えることができる。
タンパ検知パターン61は、前記のように、複数の系統(ここでは4系統)が設けられており、タンパ検知部68は、各系統のタンパ検知パターン61における異常をタンパとして検知するために、タンパ検知パターン61に対して異常検知用の信号の出力および入力を行う2つの入出力ポートを系統ごとに備えている。すなわち、各系統のタンパ検知パターン61の2つの入出力ライン72がそれぞれ、タンパ検知部68の入出力ポートに接続されている。
そして、各系統の2つの入出力ポートの一方が、異常検知用の信号をタンパ検知パターン61に出力する出力ポートとなり、他方が、異常検知用の信号に応じてタンパ検知パターン61から信号が入力される入力ポートとなり、この入力ポートに入力される信号に基づいて、タンパ検知パターン61における異常、すなわちタンパ検知パターン61の断線を検知する。なお、この異常検知時の動作については図8を用いて後に詳しく説明する。
また、タンパ検知部68は、タンパ検知パターン61の抵抗値に対応する電圧を抵抗分圧により測定し、この電圧の測定値に基づいて、タンパ検知パターン61が断線の寸前の状態であることを、タンパ検知パターンにおける異常の予兆として検知するようにしており、タンパ検知パターン61の抵抗値に対応する電圧を抵抗分圧により測定するための抵抗分圧部71がタンパ検知パターン61とタンパ検知部68との間に設けられている。
この抵抗分圧部71では、各系統のタンパ検知パターン61とタンパ検知部68とを結ぶ2つの入出力ライン72の一方に分圧用抵抗73が設けられている。また、異なる系統のタンパ検知パターン61の入出力ライン72を相互に接続する橋絡ライン74が設けられている。
タンパ検知パターン61における異常の予兆を検知する際には、検知対象となる系統の入出力ポートと、橋絡ライン74を介して接続された別系統の入出力ポートとを用いて、異常予兆検知用の信号として高電圧の信号および低電圧の信号をタンパ検知部68からタンパ検知パターン61に出力するとともに、これに応じてタンパ検知パターン61から出力される信号をタンパ検知部68に入力させる。
すなわち、検知対象となる系統の2つの入出力ポートのうちの一方が、高電圧の信号をタンパ検知パターン61に出力する出力ポートとなり、他方が、高電圧の信号に応じてタンパ検知パターン61から信号が入力されるアナログ入力ポートとなり、橋絡ライン74を介して接続された別系統の2つの入出力ポートのうち、分圧用抵抗73が設けられた入出力ライン72に接続された一方の入出力ポートが、低電圧の信号をタンパ検知パターン61に出力する出力ポートとなる。
そして、アナログ入力ポートに入力される信号に基づいて、タンパ検知パターン61の抵抗値に対応する電圧を測定し、この電圧の測定値に基づいて、タンパ検知パターン61における異常の予兆、すなわちタンパ検知パターン61が断線の寸前の状態であることを検知する。なお、この異常予兆検知時の動作については図9を用いて後に詳しく説明する。
なお、タンパ検知パターン61の異常を検知する動作は、出荷後に、常時実行される。一方、タンパ検知パターン61の異常の予兆を検知する動作は、出荷検査時に実行される。
次に、図7に示したタンパ検知パターン61の異常を検知する動作について説明する。図8は、異常検知時におけるタンパ検知部68の入出力ポートの状態を示す説明図であり、図8(A)〜図8(D)に、4系統のタンパ検知パターン61を検知対象とした場合をそれぞれ示す。
タンパ検知パターン61の異常を検知する場合には、タンパ検知部68の複数の入出力ポートのうち、検知対象となる系統の2つの入出力ポートの一方を出力ポート(OUT)とし、他方を入力ポート(IN)とする。そして、出力ポートから異常検知用の信号(ハイ/ロー信号)を出力し、この信号に応じてタンパ検知パターン61から出力される信号を入力ポートに入力させる。
このとき、検知対象となる系統に橋絡ライン74を介して接続された別系統の入出力ポートは、オープン、すなわちハイインピーダンスとなっており、検知対象となる系統の信号に影響を与えない。
なお、図8(A)〜図8(D)では、4系統のタンパ検知パターン61のそれぞれを検知対象とした場合を示しているが、橋絡ライン74で接続されていない別系統のタンパ検知パターン61については、異常検知を同時に実施することができる。また、出力ポートと入力ポートとは図示した例と逆に設定することも可能である。
次に、図7に示したタンパ検知パターン61の異常の予兆を検知する動作について説明する。図9は、異常予兆検知時におけるタンパ検知部68の入出力ポートの状態を示す説明図であり、図9(A)〜図9(D)に、4系統のタンパ検知パターン61を検知対象とした場合をそれぞれ示す。
タンパ検知パターン61における異常の予兆を検知する場合には、タンパ検知部68の複数の入出力ポートのうち、検知対象となる系統の2つの入出力ポートの一方をハイ側の出力ポート(OUT)とし、他方をアナログ入力ポート(AD)とする。また、検知対象となる系統に橋絡ラインを介して接続された別系統の2つの入出力ポートのうち、分圧用抵抗73が接続された一方の入出力ポートをロー側の出力ポート(OUT)とし、他方の入出力ポートをオープン、すなわちハイインピーダンスとする。そして、異常予兆検知用の信号として、ハイ側の出力ポートから所定の電圧(例えば3V)の信号を出力し、ロー側の出力ポートから接地電圧(0V)の信号を出力し、アナログ入力ポートに入力される信号の電圧を測定する。
このようにして抵抗分圧によりタンパ検知パターン61の抵抗値に対応する電圧が測定されると、その電圧の測定値を所定のしきい値と比較して、異常の予兆の有無を判定する。タンパ検知パターン61に異常の予兆があると、タンパ検知パターン61の抵抗値が大きくなり、これに応じて電圧の測定値が低くなり、電圧の測定値がしきい値より低くなると、異常の予兆があるものと判定する。
例えば、ハイ側の出力ポートの電圧を3Vとし、ロー側の出力ポートの電圧を0Vとし、分圧用抵抗73の抵抗値Rを1.2kΩとして、タンパ検知パターンの抵抗値Rxが600Ωであると、電圧の測定値は2Vとなる。一方、タンパ検知パターン61に異常の予兆がある、すなわち、タンパ検知パターン61が断線の寸前の状態となり、例えばタンパ検知パターン61の抵抗値Rxが2kΩとなると、電圧の測定値は1V近くまで低下する。ここで、例えば、Rx>100Ωとなる場合に異常の予兆があるものと判定するようにすると、電圧のしきい値は2.8Vとなり、電圧の測定値が2.8Vより低くなると、異常の予兆があるものと判定する。
なお、図9(A)〜図9(D)では、4系統のタンパ検知パターン61のそれぞれを検知対象とした場合を示しているが、橋絡ライン74で接続されていない別系統のタンパ検知パターン61については、異常予兆検知を同時に実施することができる。
また、ハイ側の出力ポートとロー側の出力ポートとを図示する例とは逆に設定することも可能である。また、アナログ入力ポートとロー側の出力ポートとを図示する例とは逆に設定することも可能である。また、必ずしもロー側の出力ポートは接地電圧(0V)とする必要はなく、ハイ側の出力ポートとロー側の出力ポートとで異なる電圧の信号を出力すればよい。
次に、図1に示した取引端末装置1の概略構成について説明する。図10は、取引端末装置1の概略構成を示す機能ブロック図である。
取引端末装置1には、主制御部81と、表示制御部82と、電源制御部83と、が設けられている。これらの制御部81〜83は、プロセッサで構成され、メイン基板31およびサブ基板32に実装される(図3参照)。主制御部81により、表示入力パネル4の液晶表示パネル84が表示制御部82を介して制御され、また、表示入力パネル4のタッチパネル85が制御される。また、主制御部81により、通信モジュール22、カメラ8、およびスピーカ9が制御される。また、主制御部81により、バッテリー23による給電を制御する電源制御部83が制御される。
キーパッド部5では、テンキーなどの入力キー41の操作が、タッチセンサ基板34(図3参照)に設けられたタッチセンサ93で検出され、また、電源キー42の操作が電源キースイッチ94で検出される。この電源キースイッチ94で電源キー42の操作が検出されると、主制御部81からの指示に応じて電源制御部83においてタッチセンサ93への給電が開始され、入力キー41による入力が可能になる。
セキュリティモジュール38には、セキュリティエリア制御部91と、フラッシュメモリ92と、タンパ検知部68と、が設けられている。セキュリティエリア制御部91およびタンパ検知部68は、プロセッサで構成され、セキュリティエリアメイン基板35(図3参照)に実装される。フラッシュメモリ92は、暗証番号や暗号鍵などの機密情報を記憶するものであり、セキュリティエリアメイン基板35に実装される。
セキュリティエリア制御部91では、磁気カードリーダ13、接触型ICカードリーダ14、およびタッチセンサ93の制御が行われる。このセキュリティエリア制御部91は、主制御部81に接続されており、磁気カードリーダ13、接触型ICカードリーダ14、およびタッチセンサ93で取得した情報が、セキュリティエリア制御部91から主制御部81に送られ、その情報が主制御部81からの指示に応じて通信モジュール22から決済処理システムのサーバに送信される。
タンパ検知部68では、タンパ検知パターン61に対する出力信号および入力信号に基づいて、タンパ検知パターンの異常、すなわちタンパ検知パターンの断線やショートを検知する。このタンパ検知部68においてタンパ検知パターンの異常が検知されると、セキュリティエリア制御部91において、フラッシュメモリ92に保持された暗号鍵などの機密情報を消去し、また、タンパが検知されたことを表す履歴情報をフラッシュメモリ92に記憶させる。
また、タンパ検知部68では、タンパ検知パターン61の抵抗値に対応する電圧を抵抗分圧により測定し、この電圧の測定値に基づいて、タンパ検知パターン61における異常の予兆、すなわち、タンパ検知パターン61が断線の寸前の状態にあることを検知する。このタンパ検知部68においてタンパ検知パターン61の異常の予兆が検知されると、異常の予兆が検知されたことをユーザに通知するため、セキュリティエリア制御部91から主制御部81に、異常の予兆が検知されたことを表す信号を送り、主制御部81および表示制御部82において、異常の予兆があることの表示や、装置の交換や修理を促す表示を表示入力パネル4に行わせる。
なお、図7〜図10では、図6に示したタンパ検知スイッチ62を省略したが、前記の手順により、タンパ検知パターン61における異常の予兆を検知すると同時に、タンパ検知スイッチ62における異常の予兆も検知することができる。すなわち、タンパ検知スイッチ62の弾性変形部66の寸法が正規の値より小さく形成されていると、弾性変形部66による付勢力が不足して、導電部65と電極63との接触が不十分となり、導電部65が電極63に接触した導通状態での抵抗値が大きくなる。このため、前記のように、抵抗値に対応する電圧を抵抗分圧により測定することで、タンパ検知スイッチ62における異常の予兆を検知することができる。
次に、タンパ検知パターン61の異常およびその予兆を検知するための構成の変形例について説明する。図11および図12は、タンパ検知パターン61の異常およびその予兆を検知するための構成の変形例を示す回路図である。
この変形例では、1系統のタンパ検知パターン61vにタンパ検知ライン(導電線)が2重に設けられる、すなわち、2本のタンパ検知ライン101va,101vbが併走するように設けられている。この場合、本実施形態では、4系統のタンパ検知パターン61v,61w,・・・があるため、タンパ検知ラインは合計で8本となる。
橋絡ライン74v,74wは、それぞれ、タンパ検知パターン61vの入出力ライン72va,72vbから、別系統のタンパ検知パターン61wの入出力ライン72wa,72wbに接続されている。
図11に示すように、タンパ検知パターン61vの異常を検知する場合には、タンパ検知部68の複数の入出力ポートのうち、検知対象となるタンパ検知ライン101vaに接続された2つの入出力ポートの一方を出力ポート(OUT)とし、他方を入力ポート(IN)とする。そして、同一系統のもう1つのタンパ検知ライン101vbに接続された2つの入出力ポートを入力ポート(IN)とする。
ここで、穴を開けるなどの攻撃行為により、併走する2本のタンパ検知ライン101va,101vbにショートが発生すると、検知対象となるタンパ検知ライン101vaに接続された出力ポートがハイのときに、同一系統のもう1つのタンパ検知ライン101vbに接続された入力ポートがハイとなる。これにより、タンパ検知部68において、タンパ検知ライン101va,101vbのショートを検知することができる。
図12に示すように、タンパ検知ライン101va,101vbは橋絡ライン74v又は74wでそれぞれ別系統のタンパ検知ライン101wa,101wbに接続され、同一系統の2つのタンパ検知ライン101va,101vb同士は橋絡ライン74v,74wで接続されていない。このため、タンパ検知パターンにおける異常の予兆を検知する場合には、検知対象とする系統の2つのタンパ検知ライン101vaと101vbの異常予兆検知を同時に実施することができる。
なお、以上の異常予兆検知に関する構成及び動作については、タンパ検知ライン101va,101vbとは別系統のタンパ検知ラインを検知対象とした場合においても同様である。例えば、2つのタンパ検知ライン101wa,101wbの異常予兆検知についても、上記と同様に、同時に実施することができる。
(第2実施形態)
次に、第2実施形態について説明する。図13は、第2実施形態に係るタンパ検知パターン61の異常およびその予兆を検知するための構成を示す回路図である。
第1実施形態では、図7に示したように、検知対象となるタンパ検知パターン61とは異なる別系統のタンパ検知パターン61に接続された入出力ポートを利用して、検知対象となるタンパ検知パターン61の抵抗値に対応する電圧を測定するようにしたが、この第2実施形態では、タンパ検知部68に異常予兆検知専用の入出力ポートを設けるようにしている。
すなわち、図13に示すように、タンパ検知パターン61の入出力ライン72に一端が接続された分圧用抵抗111の他端の接地をオン/オフするスイッチング素子(FET)112を設けて、このスイッチング素子112を、タンパ検知部68の異常予兆検知専用の入出力ポートに接続して、スイッチング素子112のオン/オフを切り替えるようにしている。
異常検知時には、検知対象となるタンパ検知パターン61に接続された2つの入出力ポートを出力ポートおよび入力ポートとし、スイッチング素子112をオフとする。そして、出力ポートから異常検知用の信号(ハイ/ロー信号)を出力し、この信号に応じてタンパ検知パターン61から出力される信号を入力ポートに入力させる。これにより、タンパ検知パターン61の異常を検知することができ、また、分圧用抵抗111が、検知対象となるタンパ検知パターン61の信号に影響を与えずに済む。
一方、異常予兆検知時には、検知対象となるタンパ検知パターン61に接続された2つの入出力ポートの一方を出力ポート(OUT)とし、他方をアナログ入力ポート(AD)とし、スイッチング素子112をオンとする。そして、出力ポートから所定の電圧の信号を出力し、アナログ入力ポートに入力される信号の電圧を測定する。これにより、検知対象となるタンパ検知パターン61の抵抗値に対応する電圧を抵抗分圧により測定することができ、電圧の測定値を所定のしきい値と比較することで、異常の予兆を検知することができる。
このような構成では、タンパ検知パターンの系統ごとに、分圧用抵抗のほかにスイッチング素子112が設けられ、さらに、スイッチング素子112を駆動するために異常予兆検知専用の入出力ポートが確保される。
一方、第1実施形態では、図7に示したように、分圧用抵抗73のほかに橋絡ライン74を設けるだけで済み、さらに、検知対象となるタンパ検知パターン61とは別系統のタンパ検知パターン61の入出力ポートを利用するため、異常予兆検知専用の入出力ポートも確保する必要がなく、構成を簡素化することができる。
以上、本発明を特定の実施形態に基づいて説明したが、これらの実施形態はあくまでも例示であって、本発明はこれらの実施形態によって限定されるものではない。また、上記実施形態に示した本発明に係る取引端末装置およびタンパ検知装置の各構成要素は、必ずしも全てが必須ではなく、少なくとも本発明の範囲を逸脱しない限りにおいて適宜取捨選択することが可能である。
例えば、前記の実施形態では、取引端末装置の一例として、磁気カードや接触型ICカードなどを用いてキャッシュレスで決済を行うモバイル決済端末について説明したが、本発明における取引端末装置は、このような決済の用途に限定されるものではない。また、本発明における取引端末装置は、このような携帯型のものに限定されるものではなく、据え置き型のものであってもよい。
また、前記の実施形態では、タンパ検知部においてタンパ検知パターンの異常の予兆が検知されると、異常の予兆があることの表示や、装置の交換や修理を促す表示を表示入力パネルに行わせるようにしたが、スピーカやその他の出力手段を用いて、アラームなどとしてユーザに通知するようにしてもよい。また、取引端末装置からサポートセンタなどに通知するようにしてもよく、いずれにしても、タンパの誤検知により装置が使用できなくなる前に装置の交換や修理を実施することができるように、適当な人物に通知すればよい。
また、前記の実施形態では、タンパ検知用導電体(タンパ検知パターンなど)の抵抗値に対応する電圧を測定して、この電圧の測定値に基づいて、タンパ検知用導電体における異常の予兆を検知するようにしたが、本発明はこれに限定されるものではなく、例えばタンパ検知用導電体の静電容量を測定して、この静電容量の測定値に基づいて、タンパ検知用導電体における異常の予兆を検知するようにしてもよい。
また、前記の実施形態では、各系統のタンパ検知用導電体(タンパ検知パターンなど)とタンパ検知部とを結ぶ2つの入出力ラインの一方に分圧用抵抗を設けたが、2つの入出力ラインの両方に分圧用抵抗を設けることも可能である。
本発明に係る取引端末装置およびタンパ検知装置は、タンパの誤検知により装置を使用することができなくなる不具合を回避することができる効果を有し、タンパ検知用導電体の異常によりタンパを検知する取引端末装置およびタンパ検知装置などとして有用である。
1 取引端末装置
61 タンパ検知パターン
62 タンパ検知スイッチ
63 電極
64 スイッチ部材
65 導電部
66 弾性変形部
68 タンパ検知部(タンパ検知装置)
71 抵抗分圧部
72 入出力ライン
73 分圧用抵抗
74 橋絡ライン
101 タンパ検知ライン
111 分圧用抵抗
112 スイッチング素子

Claims (6)

  1. タンパ検知用導電体の異常によりタンパを検知する取引端末装置であって、
    前記タンパ検知用導電体と、
    このタンパ検知用導電体における異常によりタンパを検知するタンパ検知部と、
    を備え、
    前記タンパ検知部は、前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知し、
    このタンパ検知部での異常の予兆の検知結果に関する情報を外部に出力することを特徴とする取引端末装置。
  2. さらに、前記タンパ検知用導電体に接続された分圧用抵抗を備え、
    前記タンパ検知部は、前記タンパ検知用導電体の抵抗値に対応する電圧を抵抗分圧により測定し、この電圧の測定値に基づいて、前記タンパ検知用導電体における異常の予兆を検知することを特徴とする請求項1に記載の取引端末装置。
  3. 前記タンパ検知用導電体は、複数系統設けられ、
    前記タンパ検知部は、各系統の前記タンパ検知用導電体における異常を検知するために、前記タンパ検知用導電体に対して前記異常検知用の信号の出力および入力を行う2つの入出力ポートを系統ごとに備え、
    前記分圧用抵抗は、各系統の前記タンパ検知用導電体と前記タンパ検知部とを結ぶ2つの入出力ラインの少なくとも一方に設けられ、
    異なる系統の前記タンパ検知用導電体の入出力ラインを相互に接続する橋絡ラインが設けられ、
    検知対象となる系統の前記入出力ポートと、前記橋絡ラインを介して接続された別系統の前記入出力ポートとを用いて、前記異常予兆検知用の信号として高電圧の信号および低電圧の信号を前記タンパ検知部から前記タンパ検知用導電体に出力するとともに、これに応じて前記タンパ検知用導電体から出力される信号を前記タンパ検知部に入力させることを特徴とする請求項2に記載の取引端末装置。
  4. 前記タンパ検知用導電体は、波形状に導電線を配したタンパ検知パターンであることを特徴とする請求項1から請求項3のいずれかに記載の取引端末装置。
  5. 前記タンパ検知用導電体は、1対の電極と、この1対の電極を導通させる導電部とにより構成され、
    前記導電部は、2つの部材の間に挟み込まれた組み立て状態における弾性変形部の弾性変形による付勢力により、前記電極に接触した導通状態に保持されることを特徴とする請求項1から請求項4のいずれかに記載の取引端末装置。
  6. タンパ検知用導電体の異常によりタンパを検知するタンパ検知装置であって、
    前記タンパ検知用導電体に異常検知用の信号を出力して、前記タンパ検知用導電体における異常を検知するとともに、前記タンパ検知用導電体に異常予兆検知用の信号を出力して、前記タンパ検知用導電体における異常の予兆を検知することを特徴とするタンパ検知装置。
JP2015249566A 2015-12-22 2015-12-22 取引端末装置およびタンパ検知装置 Active JP6249302B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015249566A JP6249302B2 (ja) 2015-12-22 2015-12-22 取引端末装置およびタンパ検知装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015249566A JP6249302B2 (ja) 2015-12-22 2015-12-22 取引端末装置およびタンパ検知装置

Publications (2)

Publication Number Publication Date
JP2017117057A JP2017117057A (ja) 2017-06-29
JP6249302B2 true JP6249302B2 (ja) 2017-12-20

Family

ID=59234305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015249566A Active JP6249302B2 (ja) 2015-12-22 2015-12-22 取引端末装置およびタンパ検知装置

Country Status (1)

Country Link
JP (1) JP6249302B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7328087B2 (ja) 2019-09-04 2023-08-16 日野自動車株式会社 電気自動車用の制御装置、及び、電気自動車

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3080202B1 (fr) * 2018-04-13 2020-11-06 Ingenico Group Dispositif de securisation d'un volume dans un terminal de paiement electronique.

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3932815B2 (ja) * 2001-03-09 2007-06-20 株式会社デンソー センサ回路網の異常検出方法
JP4349389B2 (ja) * 2006-07-28 2009-10-21 ソニー株式会社 データ記憶装置、および、通信装置
JP2012068171A (ja) * 2010-09-24 2012-04-05 Canon Inc 断線予兆検知方法、断線予兆検知装置及び作業用ロボット

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7328087B2 (ja) 2019-09-04 2023-08-16 日野自動車株式会社 電気自動車用の制御装置、及び、電気自動車

Also Published As

Publication number Publication date
JP2017117057A (ja) 2017-06-29

Similar Documents

Publication Publication Date Title
US9721439B2 (en) Docking device, transaction processing system, and notification method
US9578763B1 (en) Tamper detection using internal power signal
US9730315B1 (en) Environment-tolerant tamper-proof circuit board
CA3059245C (en) Point of sale device with switchable internal connection roles
US11681833B2 (en) Secure electronic circuitry with tamper detection
US8933781B2 (en) Fingerprint reader and a method of operating it
US9213869B2 (en) Magnetic stripe reading device
US7878397B2 (en) Enhanced security magnetic card reader especially useful in point of sale devices
US8847607B2 (en) Device for protecting a connector and a communications wire of a memory card reader
US9760127B2 (en) Information processing apparatus
US20080296378A1 (en) Anti-tampering protection for magnetic stripe reader
US10595400B1 (en) Tamper detection system
US8432300B2 (en) Keypad membrane security
US10251260B1 (en) Circuit board to hold connector pieces for tamper detection circuit
JP6249302B2 (ja) 取引端末装置およびタンパ検知装置
JP2013003979A (ja) 情報処理装置
EP2806409A1 (en) Encrypting PIN pad
JP6296397B2 (ja) 取引端末装置
JP2017117056A (ja) 取引端末装置および情報入力装置
JP5703453B1 (ja) 情報処理装置
US20200296866A1 (en) Keyboard for secure data entry
JP6268500B2 (ja) 取引端末装置およびセキュリティモジュール
JP5238839B2 (ja) スイッチユニット
JP7238689B2 (ja) 情報処理装置
JP2021135735A (ja) 情報処理装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171031

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171109

R151 Written notification of patent or utility model registration

Ref document number: 6249302

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151