https://news.yahoo.co.jp/articles/36b7dc49140f802e2ebeb3320d433573f132e4c6
https://www.sony.co.jp/Products/felica/business/information/2025001.html
情報を整理するとおそらくこう
で、社会的影響はおそらく少ない。
古いカードを持っている人は、悪意のあるスキミングで改ざんができる可能性があるにはある。ただ誰が古いICのカードを持っているかを知ることができないので、相当にスキミングは困難だと思われる。ただし標的型攻撃は別なので注意。
お店などの側もカードの残高をみて決済をしているわけではないので(システム側が残高を管理しているので)カードだけ書き換えても不正利用はほぼ無理(交通系も物販ではオンライン確認している)。
公共交通機関の改札などもオンラインになりつつあるし、改札でも決済時リアルタイムでオンライン確認をしていないだけで、随時データは送っているので、不正検知したらブロックリストに入ってすぐに使えなくなる。不正利用はほぼ無理。
そして、対策としては古いカードの交換キャンペーンが行われるだろう。そのうえで、トリプルDESでの通信を端末側が拒否する設定が配られ、その時点で使えなくなると思われる。まぁ影響は小さいし、あんまり心配しなくて良いかと。
FeliCaには古いトリプルDESを使っていた旧バージョンと、AES暗号をつかった新バージョン(2011年発表)がある。
https://www.nikkei.com/article/DGXNASFK10031_Q1A610C1000000/
で、2011年時点ではトリプルDESが破られるのは時間の問題だとされつつ、まだ無事だったので、社会的影響を考え、両対応のチップと両対応のリーダーをだし、徐々に更新をかけていった。
調べた範囲では、いつまでトリプルDESで通信ができるカードが出荷されていたかを示す情報は見つからない。しかし、おそらく今回のリリースで、最長でも2017年までのチップではトリプルDESが使えるカードが出ていたと考えて良いと思う。(もちろんその期限で綺麗に切り替わっているわけではないので「一部の」という表現になっているのではないか)
また、トリプルDES自体は鍵長でいくとまだ総当たりで破られる心配はないのだが、脆弱性も見つかっているし、色々な研究のターゲットにされて破られる例が多数あり、それらの手法と近頃の強力な計算機を用意する事で力業で破れるレベルまで来ていた。
もう専門家はだれもが破られることを予想していたが、それを実際にやってみて報告した会社が出たよ、と言うことだろうと思われる。
そうして取り出された鍵は、トリプルDESでの通信モードを持っている旧タイプまたは以降中の古いFeliCaチップにのみ影響を与えるので、2017年より前の、と言う表現ではないかと思われる。
また、各社がおサイフケータイ系は影響を受けないと言っているのも、現行サポートされているおサイフケータイはDES通信は既にサポートされていないからではないかと思われる。(とっくの昔にSDKも廃盤)
はっきり言って共同通信の報道の仕方がアホすぎ。【独自】(ドヤァ じゃねえんだわ。なあにが「ソニーは共同通信の指摘を受けて公表した」だヴォケ。スクープ気取りか?アホか。これで何人の人が詐欺にあうんですかね。
ニュースソースに言われるままに記事を書いてるだろアレ。ちゃんと他の専門家に取材してから記事にしろよ。
セキュリティ関連企業は名前を売るために大げさに言うんだよ。普通のプレスリリースもそうだろ?なのになんでセキュリティの話だけ鵜呑みにするんだよ。ちゃんと裏取りと検証取材しろ。
共同通信は新旧のFeliCaで同じ鍵が使われているとしているが、鍵長が異なるDESとAESで同じ鍵が使えるわけが無いので有り得ない。シリンダー錠とディンプル錠が同じ鍵だとか言ってるのと同レベルの与太話。
共同通信は「新型含む全カード」 ソニー/docomo/JRは「2017年より前」で「モバイルは問題ない」って言ってるんだよな ここがどちらが正解かで影響度は大きく違うと思うけど、共同通信の...
3DESの暗号化キーが流出した場合、古いカードは金額を書き換えられる恐れがあるんじゃないのかな? 最近のGPU使えばかなり高速に解析できるし、キーの解析にチャレンジしてみる人も出...
3DESの暗号化キーが流出した場合、古いカードは金額を書き換えられる恐れがあるんじゃないのかな? 中身のデータ構造が分からなくても、Edyのデータのバックアップ取って、Edyで買い物...
謝ったら負ける病気かな。 どうせセキュリティ系の燻ってるエンジニアでルサンチマン刺激されたんじゃねえかな
いきなりどうした?
多分それでは一般人はわからんので共同の理解のままだと思われる
なるほど、参考になりました。 悪意のあるリーダーが必要だから、利用をバス電車に限っていれば、スキミング攻撃に注意が必要ぐらいか。 ほぼ、危険性はないけど、絶対ないとは言え...
あるとしたら古いリーダーライター、カードの売買とかそんなのかなあ。 極端なことするとすぐに足つくだろうし改竄する奴がいるかどうかは知らんけど
脆弱性の再現は、おそらくリーダライターは古い奴はいらなくて新しい奴でいける。もちろんソフトはクラックツールみたいなのを使う。 カードは古いカード集める人はいるかも。それ...
Suicaは半年使わないとロックされるから改札通れないし 窓口で駅員に解除してもらうときにバレるよね
バレるというか正常な値にサクッと書き直されて終わりでは
俺が使ってる超昔のICカードは脆弱性あるかもしれんのか いうて最近は使って無いからどうでもいいか
最も古いタイプは駅の券売機だと自動で交換される
そんなこと聞いたことないけど、と思って調べたが、過去やってたんだな。2007年。 Suicaイオカードから現行品への交換。多機能券売機に入れると交換対象だと言われてその場で交換でき...
ひょっとして共同通信を他の新聞系マスメディアと同じだと思ってる人?
あなたこそどうしてそう思い込んだの?
共同通信に調査報道を期待しているように読めたので
anond:20250828201032 ここのツリーなんか有識者いるけど、お前らどこでそんなこと勉強したの? 一応情報セキュマネ持ってるけどそんな問題あった覚えがないぞ
平日増田組の中にはホラ吹きIT組がいて 噛みつける話題を見つけると湧いてきて盛り上がるのですよ よく言われてる████増田もそのうちの一人です
元増田の投稿20時じゃん
ここは日常的にPGPが使われるサイトだからね 暗号知識に強い人たちが多いんだよ
morasii最近いないじゃん
PGPってなに? 俺若いからわかんないや。若いから
新旧のFeliCaで同じ鍵が使われているとしているが、鍵長が異なるDESとAESで同じ鍵が使えるわけが無いので有り得ない ICカードに書かれている鍵を、そのまま使うわけではない。 ICカー...
なるほど、共通鍵暗号方式だからか
もうちょっと分かり易い説明を見つけたが https://www.marketeq.co.jp/uniformplatform/felica_2.html 確かにここでわざわざ共通の鍵を使うことは可能っぽいけど、そんな実装をするかな。 まあ、セキュ...
分かり易い記事サンクス。 記事によれば交通系の残高を書き換えてみせたそうなので、交通系がこの実装をしていたということになる。 どの記事だろう? 自分が見たいずれの記事で...
https://share.google/images/Li7BNL6tsZ9vWd1zW ↑これ。 東京新聞の切り抜きらしい。元はX
東京新聞の紙面の方ね。 もし本当なら、これだけ普及した交通系ICカードやシステムの共通カード鍵を全て更新したり、個別化カード鍵を使うように変更したりするのは事実上不可能だ...
うん。 だから anond:20250830040249 の推定は違うんじゃないかと思うよ。 3DESの鍵が破られたが、AESは別の鍵だと言う元増田の話蓋然性は高いと思う
3DES用とAES用のカード鍵が別という根拠は無いよね? 元増田は3DESとAESの鍵長が違うとしか言ってないし、3DESしか使えないFeliCaでも128ビットのカード鍵から3DES用の56ビットの鍵を導出して...
うん。だから可能性はゼロではないね。 でも リファテンスの設計では推奨されていない 一般的にはわざわざそんなことはしない(カード容量の節約にはならないです。同じ鍵を使っ...
なんか、争点が複数あって、話が噛み合ってなさそうだな。 どの点が、飛ばし/煽り/誤解の可能性が高いと思ってる? 1. 全マスコミ:FeliCaは全カードて同じ暗号鍵を使っている(かのよ...
あーなるほどわかった。増田の「前述の通り3DES時代から128ビットのカード鍵を持っているし、そのまま使うわけではない」ここが誤解だわ。 トリプルDESの鍵を説明している図をよく読ん...
それは間違い。 FeliCa Lite-Sでは、色んな場面(主に3種類?)で3DES演算をしているが、ICカードを使う際は128ビットのカード鍵と128ビットのチャレンジから2-key 3DES演算して56ビットのセッ...
そこで引っかかってたのか。 見る場所が違うよ。 ICカードに書かれている鍵は外から作って書き込むものなので、その鍵を一緒にすることはできるが、普通はしないという話だから、内...
結局共同通信が無駄に踊っただけってオチになりそうだな https://anond.hatelabo.jp/20250828201032 https://www.itmedia.co.jp/news/articles/2509/01/news090.html