[320010]【独自】フェリカに重大な脆弱性　交通系I

( 320014 ) 2025/08/29 05:37:11

Tag for ingestion URL.

0 00

=+=+=+=+=

日本の交通機関においてFelicaの貢献度は凄まじい

最近は海外観光客の利用が増えてクレジットカードのタッチ決済を導入してる駅も多いけど

もし日本の交通機関がすべてクレカのタッチ決済になったら混雑なんてレベルじゃねえ大混乱が起きる

Felicaはどれだけガラパゴスと言われようが日本の交通事情にあった進化を遂げた大事なインフラです

▲1014　▼207

=+=+=+=+=

スイカでいえば、ペンギンマークがついていない旧型カードが引っ掛かるのですが、プラスJR側のセキュリティ対策があって、現時点では、乗っ取りの事実は有りません。他の交通系やEDY も同様です。

家でいえば、門扉の鍵は開くかも知れませんよ。ただ玄関の鍵は各社毎に違うので安全です。と言う事

▲7　▼3

=+=+=+=+=

100%安全なカードなどないから、運用を含めた対策で補完していくしかないだろうね。ただ、殆どキャッシュカードやマイナカードと同じく社会インフラの位置付けにあるから、簡単に破られては困るのは確か。

近年、キャッシュレス化やAI化、EV化、入国者の増加等々変化の波が大き過ぎてどうも落ち着かない。何か一つ破綻すると一気に機能不全に陥るようなリスクを感じる。

▲186　▼40

=+=+=+=+=

図説にあるような「暗号鍵」を入手したところで、例えばSuicaの残高を積み増したりすることはできないです。

端末やカード側のチップがすべての処理を行っているわけではなく、整合性チェックを改札機、券売機、通信端末の固有IDや認証、残高管理サーバー、クレジットカード会社のサーバー認証と複数のチェックをこの暗号鍵だけでは突破できないからです。

あるとしたら悪意をもって既存の利用者のカードを「丸コピ」する偽装をやって、その既存利用者が入れていた残高を窃取する程度でしょうか。その場合、オートチャージの機能を有効にしていると知らぬ間に使い続けられている可能性はあるかもしれません。

この丸コピにはもちろん同様に暗号鍵の入手のみでは不十分で、チップが持つ固有情報も完全に得られなければなりません。

スマホのおサイフケータイであればスマホ側の認証がもう一段あるので複製は非常に困難です。

▲123　▼23

=+=+=+=+=

盗むのではなくて、悪人が自分のフェリカを残高１００万とかにするとかかな？そうなると、被害は交通系の会社、買い物などできる小売りになり、消費者は被害はないということになるけど

▲4　▼2

=+=+=+=+=

これ、実害が出てないのであれば、ニュースにしない方が良かったのでは．「出来るんじゃん」とか言って、必死になって暗号鍵を取り出そうとするヤツがいっぱいわいてくると思う．

▲85　▼43

=+=+=+=+=

知りたい方が多いであろうSuicaもFeliCaを採用しているが、JR東日本ではSuicaにはFeliCaのセキュリティだけではなく様々なセキュリティ対策を施しているため、安心して使用してもらいたい旨の発表がされている。

▲70　▼8

=+=+=+=+=

>2017年以前に出荷された一部に脆弱性

FeliCaが出荷された時期と、消費者が入手した時期は異なるのでは？

例えばPiTaPaを更新したのが最近でも、2017年以前の在庫を消費者に渡しているのかも

問題ないFeliCaなのか確認するすべが欲しいですね

▲218　▼41

=+=+=+=+=

FeliCaの出始めの頃に仕様書読んだことあるけど、暗号化の鍵もセキュリティ領域へのアクセス方法も一般人には非公開であり（少なくとも正規の手順では）ハードウェアレベルですら読み書きできないなと思った。

20年前くらいに脆弱性が発表されたが、その際は実証コードも出てこなかったためフェイクだったのだろうと思われ、まだまだ安泰だなと思ったものだ。

しかし今回の件はどうも本当のようなので、暗号化の鍵が漏れてしまったのだとしたらシステムの根幹を揺るがされかねない。残高を変えられるのか、それとも他人のカードを騙ることができるのか。

以前にB-CASカードのセキュリティが突破された時も有料番組の不正視聴などの問題に発展した。いずれにしても大きな問題にならなければ良いと思うのだが…。

▲3　▼3

=+=+=+=+=

第二次大戦以前の暗号技術は、暗号化するためのアルゴリズム自体を秘匿するというやり方だった。代表例はドイツのエニグマ。

このやり方の場合、一度暗号化アルゴリズムを解読されてしまうと、既に暗号としての意味を成していない事にすら気付けないという重大な欠陥があった。

現在は暗号化アルゴリズム自体は公開している。そうすることで、いろんな人がその暗号の脆弱性を探し出して公開してくれるので、より強固な暗号技術へ発展していくことになる。

かつてWiFiで使われていたWEP等も脆弱性が報告されて誰も使わなくなり、強固な方式（AES）へ置き換わった。

つまり、今回、Felicaの脆弱性が報告されたのは、より強固な暗号化技術へ進化するうえで必要不可欠なプロセスなのです。

▲95　▼62

=+=+=+=+=

さすがにFeliCaの内部データ(Suicaの残高等)はサーバーに保管・照合の上利用されていると思うので、外部から書き換えて無理矢理利用することは出来ないと思いたい。

ただ、カードそのものはアップデート出来ないと思うので、サーバ側やリーダー側で対応出来ない脆弱性なら2017年以前のカードや機器は一律で使用不可にするしか無いと思われる。

例えばFeliCa対応のiPhone7(2016年9月)とか小さいので決済専用に持っている人とか、既にサポートも終わっているので脆弱性の影響が出るなら使えなくなる。

▲7　▼30

=+=+=+=+=

自分もQUICPayやSuicaを使ってたので、少し調べてみたが、一応Apple Payを通すことで、ある程度の安全性は担保されるということで、一安心。

でもカードで使ったりすると危険性は高いということで、注意と今後の動向は見ておく必要はあるかな。

▲5　▼7

=+=+=+=+=

キャッシュレス化が進んでいるにもかかわらず未だに現金主義の人が少なからず見受けるのは最後は自分で自分を守らないとイケないことがわかっているからだと思います。日本はキャッシュレス化が遅れていると言われるのは決済者双方にキャッシュレスに慎重な割合が多いからだと思います。私はキャッシュレス主義者ですが交通カードやお店のプリペイド式カードなどは少しずつチャージして万が一の時、被害を少なくするように心がけています。

▲50　▼72

=+=+=+=+=

FeliCaの脆弱性にはついては、ICカードが国内に流通し出した当初から言われていた事を思い出しました。

只その当時はそこまで問題視されることも無く、流通量によるコストの関係も有りFeliCaを選択する事が多かった様ですね。

▲26　▼12

=+=+=+=+=

Felicaは以前から暗号の強度が弱いと指摘されていましたよね。

「読み書き速度を速める代わりに暗号強度を高くしてない」と指摘されていましたよね。

なので「何を今更」と呆れています。

それとは関係ないが私は昔から交通系ICカードは現金でしかチャージや定期券の購入をしてないのでまだよかったと思います。

これを機にSuicaもアップデートして読み書きの速度よりもセキュリティーを高めてほしいと思います。

▲12　▼50

=+=+=+=+=

FeliCaは便利でいいんだけど、最近のスマホで容量が多くて、FeliCa機能を外してくるメーカーが出てきて困ってる。。

ゲームだけでなく、お店とかでもアプリを導入してるから昔のポイントカードで財布がパンパンになるようにアプリで容量を食うし、SDカードも使えない機種はどうしたらいいんだろ？

日本で販売するスマホはすべてFeliCa機能をつけてほしい

▲28　▼62

=+=+=+=+=

森井昌克先生の「冷静に状況を見極める」のはわれわれしろうとには難しい。

felicaの情報を読み書きできる事自体は、技術的には重大な脆弱性。

たとえば、felicaに顧客IDが保存されていたとする。そのIDで、自身の顧客情報を取得するアプリがあるとする。felicaの顧客IDを改ざんし、全顧客の個人情報が取得できるとしたら。もちろんアプリにそういう脆弱性があるのが前提だが、一般的にfelicaの改ざんを想定した脆弱性対策までおこなっているかどうか。実際にそういう一次防御線が突破されるとその先に対策がとられていない事例は多い。

▲0　▼1

=+=+=+=+=

これはFelica（カード）の脆弱性であり、交通系システムの脆弱性ではないので安心してください。

システム側はカードとは別の暗号化が施されており、何重ものセキュリティがかかっています。

仮にカードが改ざんされたとしても、サーバ側で情報管理されているので異常は直ぐに見つかる仕組みです。

そもそも磁気カード時代の不正対策として生まれた交通系ICシステムが不正対策されてない訳ないです。

この記事はあくまでFelica単体の話です。アンノウン・テクノロジーズ社は交通系システムの内容を把握できるようなレベルの会社ではない。

▲1　▼0

=+=+=+=+=

まあ、ユーザーが出来ることはスキミングされないようにカバーなどで遮断する以外ないだろうなぁ…

無償交換ってなってもカード式だとその量は多くて半導体不足で新規発行が一時停止したのにまた一時停止して改良しなければならないってなっちゃうとネガティブインパクトが大きすぎるからなぁ…

…とにかく、今は冷静に状況を判断するのが一番かもしれない…

報道に惑わされて変に騒ぎを大きくしないように…読む側の冷静な判断を…

▲30　▼40

=+=+=+=+=

旧型のカードは暗号方式が古いDESという方式だけ対応で、新型のカードはAESという方式に対応。

3DESとかが間に居るわけでもなく一足飛びだったんですね。

暗号鍵が手に入ったらカードとリーダー間の通信を傍受できることになるので、割り込みをかけてうんたらかんたら…

Felicaカードを社員証とかに使っているシステムがあると思いますから、その辺が心配ですかね…？

▲84　▼24

=+=+=+=+=

この脆弱性を簡単に悪用できるのであれば、対策も一緒に公表されます。

そうでなく影響範囲の特定や対策が済んでない状況で公表されたという事は、現時点で過度に心配する必要はないと言えます。

▲114　▼20

=+=+=+=+=

開発元のソニー広報部は28日、次のようにコメントした。

　フェリカのICチップのうち、2017年以前に出荷された一部のチップについて、情報処理推進機構（IPA）の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受け、報告された操作により、当該チップでデータの読み取りや改ざんが実行される可能性があることを確認しました。

　フェリカを利用するサービスのセキュリティーは、フェリカICチップのセキュリティーに加え、サービスごとにシステム全体で構築されます。本事案については、パートナーシップの枠組みの中で、一部のサービス事業者や公的機関とも連携しています。関連事業者からの情報を踏まえ、引き続き安心してご利用ください。

2025年08月28日 18時03分共同通信

▲75　▼40

=+=+=+=+=

突破出来た事を契約者に個人的に教えれば良かったのではと思います。

関係ない人まで突破出来ると分かると、試したくなる人が一定数居ると思う。

何でも公表すれば良いと言うのは違うのではと思います。

▲3　▼17

=+=+=+=+=

隣の国ぐるみのハッキングとかは、もうイタチごっこを超えて防げないのでは？銀行、クレジットカード、証券会社、企業機密、個人データ、一体今迄に何兆円取られて来たのか？今や取り引きするのに何回もログインして、やり直して、何重もの認証繰り返して、面倒を通り越して途中で嫌になる。最近は株取引もやらなくなった。昔の紙通帳とハンコが一番安全で早いのでは？と思う程です。

▲129　▼60

=+=+=+=+=

まぁ、時間とか費用等が膨大にかかるとかをとりあえず無視して言えば、未来永劫絶対に突破できない暗号は存在しないだろう。

ましてやAI等が発達しているので、今までは考えつかなかった方法や比較的短時間で突破できるようになっちゃったなんてのは有り得る話だから、分かった時点で適宜対処して行くしかない。完璧な先回りも無理な話なので。

これだけをもってFeliCaはダメだとかクソだとかっていうのは違うかな。

▲5　▼1

=+=+=+=+=

2017年以前のFeliCaと言うことで、クレジットカードや、スマホに内蔵されているFeliCaは、有効期限や買換で、ほとんど新しいチップになっているだろうから、それほど騒ぐ必要はないかと。

▲6　▼4

=+=+=+=+=

電子的な技術は常にアップデートしていかなければ必ず脆弱性が発見される。

一度完成品を作ったからと放置するのは日本企業の悪い所だよね。サービスを続ける限りはメンテナンスだけでなくアップデートも続けないと

▲9　▼20

=+=+=+=+=

20年近く前に暗号が破られたとの記事に、ソニーがそのような事実はないと反論した事例があるだけで、これまで問題はなかったようですね。

どれだけその時点で高水準なセキュリティでも、時間が経てば危険になるということがわかる事例かと思います。ソニーに過信があったか、セキュリティを軽視をしていた側面があったのではないでしょうか。

脆弱性の内容は公開せず、問題になる前に対策が必要だとソニーに働きかけができたわけです。にもかかわらずこのグループを悪く言うコメントがあるのが理解できません。

▲149　▼72

=+=+=+=+=

と言っても、これからもイタチごっこです…

破れない暗号を作ったら、半年もしない内に「脆弱性」はほぼ必ず

発見されるというか、作られてしまう…

それは、コンピューターの特性と言うか、常に一つの演算を行い

また電気信号は１方向にしか流れないから…

まあ、基本的にはワンタイムパスワード方式（３オペ）さらに、

その指定は本人確認ができなと完結しない、とか、しか…

しかし、逆に、本人が絶対だと、

本人が死ねば永久に解読できなくなるから、逆に情報記録としてはアウト！

基本的に楽で速くて安全に、って、あり得ない夢ですよ！！

▲8　▼7

=+=+=+=+=

「自分のフェリカは新しいから大丈夫！」

…ではない、ってことですかね？

2017年以前のフェリカを解読して「暗号鍵」を入手できたら、その暗号鍵は全フェリカで共通なので、それを使って新しいフェリカを使ったSuicaなどの残高も変更できちゃう、、ってことなのかな？

Suicaなどは残高が中央サーバー管理ではなく、1枚ごとに個別に記録されてる形式だから、もし残高を変更できちゃうと大変なことになる。

▲64　▼49

=+=+=+=+=

私は唯一現金チャージするSuicaを持ってますが

何が違うのでしょう？

携帯もガラケーだし苦労して手に入れた給与(報酬)を楽に使うという発想が

無いので何に支障が起きているのか色々と調べてもよくわかりません。。。

チャージするSuicaはダメなのでしょうか？

▲1　▼8

=+=+=+=+=

手元にあるFelica媒体をチェックしたが、常用しているものは大抵２０１８年以降発行だった。クレジットカード一体型・連動型は５年更新だし、地元の定期券（交通系ＩＣ）は印字不良で先月交換してもらったばかり。

もう２度と使わない記念Suicaやご当地WAONはあるけど、残高０だし、２度とチャージしないから影響なし。

各事業者は、該当カードを改札やレジで止めて交換する対応に追われるかもしれないけど、その費用を誰が負担するかってのは気になるところ。

▲180　▼191

=+=+=+=+=

FeliCaはユーザーがデータを消去できないという欠陥仕様だから。

Sonyの作ったずさんな仕様だから、こういう事もあるだろう。

スマホを転売する際に、工場出荷状態にしてデータを消した気になっていても、実はFeliCaのデータは消されずに残っている。

FeliCaのデータを完全に消去するにはDocomo等の店頭に持っていって専用機で消去しないと消せない。

知らない人がほとんどだろう。

▲9　▼27

=+=+=+=+=

いまは磁気テープを利用した運用も減ってきたので、クレカに使われているNFCの方がやっぱりfericaより安全性は高いと感じる。

技術の特性上、タッチ時の読み取り時間や距離は劣るが、数秒数mmの違いなのでferica（IC）に慣れてる人でもそんなに大きなストレスにはならないと思う。

それよりもやはり安全性の方が重要。

▲29　▼125

=+=+=+=+=

データ改竄のおそれという話が、実際のリスクとどう結びつくのかが不明

ICカード、モバイルSuicaなどに侵入されて書き換えられる恐れって話なの？

ICカードは普段通信するわけじゃないし、アプリを別に入れるわけでもないからその恐れはないよね

サーバとの通信のタイミングしかないと思うけれど、その場合不定期にごく短時間発生する通信についてどうやって関与して改竄するの？

唯一可能性があるのは、モバイル端末に侵入してデータを改竄するかもってことかな

▲4　▼2

=+=+=+=+=

そもそも人間の作る物に100%なんて絶対に有り得ない！では、どうして行くべきかを考えた方が良い。それには常に定期的にフォーマットの更新つまりは書き換えや方式そのものの変更などをして対応して行くしかない。

▲0　▼0

=+=+=+=+=

仮に悪用されても、悪用した本人がタダで電車に乗ったり買い物できる程度？　誰が困るんだろう。電子マネーなんだから買い物されても店には電子マネーが入る。電子マネーを日本円にするとき、円を出す人が、過去にチャージで円をもらってないのに出すから損するということ？　チャージはコンビニとかでもできる。回り回ってjrが損するんだろうか。電子マネーのまま流通してたら誰も損しない？　単にわずかにインフレになるだけ？

▲0　▼6

=+=+=+=+=

Felicaがなければ、都会の通勤ラッシュは捌けない。クレカタッチな2テンポくらい遅れるのでイラっとする。

どんなものでも穴はあるから、きちんと塞いで今後の対応をしっかりして欲しい。

▲10　▼10

=+=+=+=+=

WAONやNANACOそしてSUICAどれもよくできていて簡単スピーディー。バーコード決済は面倒の一言。なんでなんとかpayを企業は取り入れたんだろう。おサイフケータイが断然便利なのに不思議でしょうがない。

▲8　▼9

=+=+=+=+=

なんでもキャッシュレスに国策で

誘導してるけど、すべて情報が流出するように

あえて脆弱にしてるのではと疑いたくなる。

私は、信用できないから

一切使用しませんし、身の丈にあうお金の使い方を大切にします。教育上では必ず現金を流れを

学ぶべきだ

▲34　▼76

=+=+=+=+=

まあ、初めから非接触カードとしてのISOスタンダードになれなかったカード、勝手にType Cとか呼んでたけど、そんなものはない。後にNFCの規格は取れたようだけど、今でもISOの非接触カードではない。そしてSuicaや鉄道各社がQR化に走っている現在、Felicaの寿命も終わりでしょう。隠してたけど、かなりの比率でオフライン取引をやってたせいで、イオンのカードがフェリカのせいでエライ目にあったのも最近の話。クレジットカード取引の半分が非接触になっている現在、ポイントとかメリットの多いクレジットタッチ決済とほとんどメリットのないフェリカ電マネが生きながらえるとは思えない。ID始めた三井住友も今や厄介者扱い。ドコモだけが固執してる。QuickPayもクレジットタッチ決済との競合をどうする気なのかJCBが中途半端な態度。

▲23　▼102

=+=+=+=+=

1か月後くらいに新フェリカが発表されたりして。

交通系ICもそろそろバージョンアップで特需がほしいところかもだけど

電子マネーはシステム更新が高く付くのがネックなんだよな。

▲3　▼0

=+=+=+=+=

券売機で小まめに履歴印字（20件）しているけど、何の問題も無い。

そもそも交通系ICカードは、上限2万円しかチャージ出来ないから、不正したとして大した物は買えない。不正リスクの方が大きいと思う。

▲99　▼23

=+=+=+=+=

>ソニーは、2017年以前に出荷された一部に脆弱性があり、

>切敷氏は・・・もっと早く別の暗号方式に切り替えるなどの対応をすべきだった

2018年以降は大丈夫って事は、古い暗号方式という認識はしっかりあって7年前から変えていたけどってタイミングだけの話ですかね。

今までに内部データ改ざんによる実被害が出てないのなら、この発表で不安を煽り、新しいカードに更新するのを促進するしかない。

実際カード内容の改ざんで悪さをするためには、古いカードに出くわしかつメリットを出すというなかなか難しいシチュエーション作りが必要だと思うが、悪い事を考える人は、とんでもないことを考えるので警戒は必要。

若い人はスマホに移行してるし、ま～大騒ぎしてでもフェリカで粘ってる人に訴求し、新しいカードに交換するのを進めてください。

▲4　▼21

=+=+=+=+=

情報誌FACTAが20年近く前にフェリカの脆弱性をすっぱ抜いた記事を書いたところ、ITmediaがファクタ報道に懐疑的な技術記事を書いてかなり騒動になった記憶があるが、FACTAがしていた内容が正しかったのかそれとは別の脆弱性なのかが気になります。

▲4　▼0

=+=+=+=+=

ふだんから1万円以上なんて入れてないよ。都内の近場からせいぜい半径50キロ以内の移動費用が抜かれたとしても、痛くも痒くもない。定期券部分はクレカだと改竄して第三者が勝手に現金化することはおそらくできない。

他の電子決済手段が普及したため、バス・電車賃以外の購買には使用していないのだ。だから別にいいよ。

▲2　▼9

=+=+=+=+=

フェリカに重大な脆弱性　交通系IC、データ改ざんの恐れ

と煽っていますがインターネットと違い交通系ＩＣがアクセスする機会は

主に改札通過時やチャージの時に限られます

交通系ＩＣカードはクレジットやＱＲより瞬時に反応するため

タイムラグを感じるストレスなしで改札を通過できて便利です

今件はユーザーはなんでもかんでもＩＣカードにタッチしないよう気を付けましょう

という啓発記事という認識でよいと思います

▲4　▼5

=+=+=+=+=

そんなに大騒ぎすることだろうか。

確かに社会インフラだが、交通利用や店頭での利用がほどんどだし、せいぜいSuicaに架空のチャージをされて事業者が損をするぐらいではないか。

データが抜き取られてもチャージ残高しか取れず、国内限定で特定しやすいから、やる方もメリットが少なくて今まで実例がないのでは？

▲27　▼26

=+=+=+=+=

この脆弱性の影響をちゃんと報じないからリテラシーの低い人達が過剰に騒いでるね。

手元のデータ改ざんしたってシステム全体のセキュリティを突破出来るわけじゃない。脆弱性自体は深刻だが、深刻な影響は出ないよ。

▲32　▼7

=+=+=+=+=

どっちでも良いんだけど、Felicaってガラパゴスな規格だからスマホの対応がイマイチなのよね。その割に交通系ICで使うから端末を選んでしまう。

NFCに統一してくれれば便利なのに。

▲42　▼88

=+=+=+=+=

想定されるリスク

交通機関の混乱

　改ざんや不正利用により改札システムが停止、通勤・通学や物流に甚大な影響を与える恐れ。

経済取引の不正

　電子マネー残高の偽造・改ざんによる金融被害、企業の信用失墜。

国家安全保障上のリスク

　入退室管理や認証基盤に利用される場合、不正侵入や情報漏えいの危険。

▲33　▼96

=+=+=+=+=

所詮、人間が作る物事に、絶対的な安全とか、完璧とかは有り得ないという事に尽きますよね。

それを踏まえた上で、万一何らかのトラブルや障害が起きた時に、上手く、かつ、素早く対処する技術やシステムも出来る限り構築しておくかが肝心なのでしょう。

自ら開発した技術やシステムに奢ってしまい、その後の対処方を見過ごしてしまえば，間違いなく、しっぺ返しを食らうのが、世の常ではないかと痛感します。

▲1　▼1

=+=+=+=+=

交通系ICの最大の問題は、事業者側の更新コストが高すぎて、利用中止する事業者が出てきてることだろ?

前世代の古くて高いモノは止めて、新しく安いモノに入れ替わる時期が来たのだろう

▲10　▼18

=+=+=+=+=

B-CASと似たようなパターン？　一部メーカーのカードにバックドアみたいなのがあってそこから解析されたみたいな？　ま、改ざんするにもその物理カードが必要だし残高やらはサーバー側にあるだろうし、あくまでも可能性があるだけで今のところそれによって被害聞いたことないし、あくまでも恐れ。　恐れのこと言ったらいくらでも言える。ま、この専門家と言われる人・KYODOが不必要に世間の不安を煽って得をする人達なんだろうね。

▲1　▼3

=+=+=+=+=

発見したというセキュリティー企業『アンノウン・テクノロジーズ』のHPを見ると、別件（KADOKAWA 不正アクセス事件）で自社の活動が共同通信社から配信されました！と嬉しそうに告知している。

アンノウン・テクノロジーズは共同通信とつながりがあり、今回の情報も、アンノウン・テクノロジーズが共同通信へ売ったのだろう。

▲126　▼103

=+=+=+=+=

うちのマンションの宅配ロッカーは開けるカギとして交通系ICやワオンなども登録できるけど影響があるかな？こういう仕様になってるアパマン多いのではないかな。

▲13　▼12

=+=+=+=+=

交通系ICフェリカに脆弱性が見つかったのですね。多分初めてじゃないでしょうか。タッチ決済にはいろんな方式があるけれど，フェリカは安全な方式だと思っていました。ところがやっぱり絶対に安全ということはないんだと痛感させられました。

因みにマイナンバーカードは，通信方式がフェリカ方式ではなくて，モトローラの作った規格TYPE-B。大慌てしないように…。それにしても久しぶりの脆弱性ニュース。そういえばホテルの電子ロックですが，以前は会員カードで開けることができたんだけど，脆弱性が見つかりあちこちのホテルで変更がありましたね。これ，モトローラ，TYPE-B。マイナンバーカード導入当初，この以前のトラブルどうしたんだろって思ったことがあります。

因みに交通系ICカードを利用して，電子ロック式保管庫の鍵を開ける方法を見つけたことがあります。ICOCAだったかな，うん，見事に保管庫の鍵として使えました。

▲121　▼241

=+=+=+=+=

やや不親切な記事だと思う。私は、SuikaやPasmoがFelicaであることは知っているが、知らない人も多いのでは？「私はSuikaだから関係ないや」と思う人が出ないように、若干の説明が必要かと思います。

▲3　▼8

=+=+=+=+=

アンノウンセキュリティという会社は情報処理推進機構（IPA）よりも優秀ということか。

脆弱性が指摘されていても何も対策を取らない政府と企業の存在価値は何だろうね。

▲1　▼13

=+=+=+=+=

ソニーのコメントの通りだと思います。フェリカは、加算、減算などシステムと組み合わせるして使用法なので、システム側でセキュリティを強化すれば問題ないと思われます。

▲4　▼2

=+=+=+=+=

発行されて居る枚数が多すぎて更新を一企業単位で顧客に発信しないで国や行政からもコメントさせるのが一番最善かも、混乱を避ける為に窓口の準備を取らせるとか。

▲3　▼6

=+=+=+=+=

脆弱性がある事が関係者の取材で分かった、と共同はニュースにしている。

なぜ脆弱性に関して取材できたのだろうか？どういう事例や根拠があったのだろうか。理由がなければ取材しないはずだが。

ソニーが警告を自ら出したわけでなさそう。

▲12　▼13

=+=+=+=+=

こういう記事があると、電子マネーやバーコア決済は危険だ、現金が一番だと騒ぐ人がいるだろう。

でも、ニセ札だって、お釣りで受け取るリスクはあるんだよね。

▲9　▼5

=+=+=+=+=

suicaやEdyみないな大手なら対策できるでしょうが、心配なのは地方私鉄が出してるような地域独自のICカードで更新必須になるときの費用を捻出できるのか。

▲2　▼5

=+=+=+=+=

SUICAはプリペイドで、かつ電車の運賃支払が基本的な用途なので、チャージはせいぜい数千円。

データが抜かれてチャージのお金が勝手に使われても、大きな損失はないのが救い。

▲0　▼2

=+=+=+=+=

日本て本当にセキュリティに関してノロノロ

してると言うか、全く警戒感や危機感がないですね

攻撃者からしたらこれ以上ない標的でしょう。

安全性バイアスか何か知りませんが呑気過ぎる。

▲17　▼17

=+=+=+=+=

ソニーもコメントを出していますが、カード自体に脆弱性があってもシステム側でセキュリティは確保できるということですので、過度に心配する必要は無さそうです。

▲1　▼4

=+=+=+=+=

Felicaは残念ながらオワコンです。別にFelicaの規格が悪いのではない

Felica自体は素晴らしい規格ですし日本にきたらこれ1枚でなんでも

会計OKくらいのポテンシャルはありましたよね

それが運営してたビットワレットの方針がダメだったの一言

edyを世に出す前に電車利用なんて日本より先行して利用開始した

香港のオクトパスで実証済みなのだからJR東日本とタッグを組んで

日本の改札にはどんな案件が必要かを共同開発してたらね

これくらいしてあとはedy以外の規格は基本NGにしてたらよかったんだけどね

日産もそうだけどせっかくいい製品があってもトップがダメだと

こうやってどんどん廃れてしまうという好例となりました。

▲9　▼89

=+=+=+=+=

国家資格のITパスポート持ちとしての見解ですが、今回のFeliCa脆弱性は「予想されていたリスクが現実化した」典型例だと思います。2017年以前の古い暗号方式を長期間放置したこと自体、セキュリティ運用上の課題を示しています。交通や決済といった社会インフラに直結する技術だからこそ、定期的な暗号アルゴリズムの更新やリプレースは不可欠です。利用者にとっては「便利だから安全」と思いがちですが、裏では常に脅威との競争が続いているという事実を突きつけられます。企業には迅速な対策と利用者への丁寧な説明が求められるでしょう。

▲147　▼316

=+=+=+=+=

Felicaは便利なので毎日使ってます。最近はNFCのみでFelicaに対応してないスマホが多いのでそのうちなくなっちゃうのかなと思います。

▲2　▼6

=+=+=+=+=

もうすでに何億、下手したら何百億も抜かれた後かもしれん。北朝鮮のハッカー辺りは既に何年も前からやってる可能性あるな。例えばスイカ何十枚も出して高級ゴルフクラブとか買い物してるやつ前からいるぞ。転売してるんじゃ。昔サミーのパチスロのレバーのバグが知れ渡る何カ月も前から毎日場所を変えて万枚出してるグループいたからな。猫で小判で。それの何万倍の衝撃。みんな呑気だね。中央で管理しないで、カードのみにお金が紐づいてるシステムは改ざんされたら終わりだよね。

▲2　▼11

=+=+=+=+=

Suicaてクレカと違って上限も2万円だし、オンラインで使わないから脆弱性があってもそこまで問題にならないのでは。

最も上限を引き上げようとしてるみたいだけど。

▲2　▼3

=+=+=+=+=

すべてのカードは、少なくとも何年に発行されたかは分かるはずだし、製造時期とカード番号と紐付けていれば、改札を通れば見付けられるのでは？

定期券ならメアドから個別通知もできそうですし。

中国だったら、該当カードはすべて停止にしそうですねw

▲0　▼2

=+=+=+=+=

2017年以前に出荷って事は結構古いと思われるけど、どれくらい使われてるんだろう。8年も経てば問題点が見つかるのは仕方ないだろうしなぁ。早急に交換するしか…

▲0　▼1

=+=+=+=+=

2017年以前のsuicaだから８年以上、相当前のもの。

たぶん昔のsuicaを利用できなくすることで解決していくんだろうな～。

新しいsuicaに好感したら５００円チャージするで～みたいな。

▲32　▼16

=+=+=+=+=

これからは現金できっぷを購入して汽車に乗る人が激増して、券売機が大行列になるぞ。

すでに券売機を撤去した駅も少なくないが。

▲0　▼10

=+=+=+=+=

インターネットを使う限り100%安全なんてことはない。

ただ狙われるか狙われないかだけ。

便利と不便のバランスは難しいですね。

▲9　▼3

=+=+=+=+=

DES暗号使用の古いSuicaは早く交換すべきとの話は以前からあった。

AES暗号使った新しいSuicaに交換するしかないと思われます。

▲1　▼0

=+=+=+=+=

ソニーは確かに問題あるけど今すぐに対応しないといけないほどでは無いから、今後も安心してお使い下さいみたいなスタンスですけどね。

▲3　▼3

=+=+=+=+=

これだから電子マネーや暗号資産とか実態の無いモノに価値を付けるのが間違いっての。

泥棒も脆弱性をついて電子記録を書き換えてあっという間にビリオネアw

投資家だの企業買収で儲けるだのもうそんなのばっかり儲けてるから

電子記録改竄で儲けても一緒だろうもはや

▲14　▼46

=+=+=+=+=

あるコインパーキングで自分も重大なバグを見つけた。ある一定の条件を満たしクレジット決済しようとするとイキナリ装置が起動して未決済にも関わらず車を問答無用で出せるようになる。

各社、コインパーキング業者は見直したほうがエエで〜

▲68　▼93

=+=+=+=+=

これが報道されたということは、すでに「そういうことがあった」と言っている様なもの。

あまりにも莫大なデータ量だし、どの程度改ざんされているかすらもわからないのだろうな。

▲3　▼5

=+=+=+=+=

となると、2017年以前のSuicaなどはもうすぐ無効化される流れか。

結構同じカードをずっと使ってる人も多いだろうし、影響は大だろうね。

▲3　▼1

=+=+=+=+=

劇的復活を遂げて超優良ブランドになったソニーへの信頼を裏切るね。セキュリティの脆弱性を甘く見ていたというのは、、。やっぱだめか。日立だね、本物は。

▲1　▼9

=+=+=+=+=

特定したのが日本企業とのことだけど、日本潰しがきたのかと勘繰ってしまう。

クレカ導入の動き活発だし。

まあ考えすぎか。

▲8　▼4

=+=+=+=+=

フェリカやQR決済系の脆弱性はいち早く報道されるがクレジットカードやその企業の脆弱性は隠蔽される、メディア企業とクレジットカード企業は癒着しているから。

▲2　▼1

=+=+=+=+=

サイドチャネル攻撃だと思う

ヨーロッパですれ違った相手のICカード情報を抜き出す動画が10年以上前に流れていたので特段の驚きはない

▲3　▼5

=+=+=+=+=

暗号システムを突破し、フェリカのセキュリティーを管理する暗号鍵を取り出せることを確認した。　←　記事が読みたい　DESで突破したのかAESで突破したのか知りたい

▲0　▼0

=+=+=+=+=

FeliCaが世界的に普及している規格だったら

大変な事になっていましたね。

幸か不幸か現実はそうではないという。

▲21　▼9

=+=+=+=+=

脆弱性は予見されていたものの利便性を重視しSuica残高上限を2万円に制限することで被害を最小限に抑制してきました

▲3　▼1

【独自】フェリカに重大な脆弱性 交通系IC、データ改ざんの恐れ

【独自】フェリカに重大な脆弱性　交通系IC、データ改ざんの恐れ