オルタナティブ・ブログ > 路の上で >

日頃考えていることをぽちぽち書きます。

先週のFelicaの脆弱性発表は、もう少し内容と根拠が欲しかった

»

先週のFelica ICチップの脆弱性に関する以下の発表は、ソニーが大きなシステム内の一重要サプライヤーであること、おそらく急に発表せざるを得ない状況であったこと、は同情できるものの、脆弱性に関する発表としては不十分と思います。
2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について
どのような脆弱性であるのかほとんど無いままに「関連事業者からの情報を踏まえ引き続き安心してご利用ください」と言われても、信じられるはずがありません。

それは、システム側の発表も同じです。例えば、JR東日本
FeliCa の脆弱性に関する一部報道について
では、「引き続き安心してご利用いただければと存じます」と大した根拠なしに突き放しています。

ソニーの発表では、脆弱性があったのは「2017年以前に出荷された一部のFeliCa ICチップ」だそうですが、他のマスコミの記事等によると、その脆弱性を悪用して読み取った暗号鍵(おそらく共通鍵)は、全てのFelica ICで使えるとか。

決済はJR東日本の言うように外部から異常検出できるかもしれません。しかし、Suicaをマンション鍵に使うような用途はどうでしょうか?

ソニーおよびシステム提供者は、考えられる影響と対策、あるいはなぜ大丈夫なのかを悪用されない程度に具体的に示すべきでしょう。調査中でわからないのであれば、それを正直に言うべきです。

Comment(0)