FeliCaは危険なのか？

おサイフケータイ危うし、FeliCaの暗号が破られた？

　非接触IC「FeliCa」の暗号が破られたとする雑誌記事に対し、ソニーは「事実無根だ」と真っ向から反論している。

　■ソニーは完全否定

　非接触IC「FeliCa」（フェリカ）の暗号が破られたとする雑誌記事に対し、ソニーは「事実無根だ」と真っ向から反論している。

　ファクタ出版は、同社が発行している経済誌「月刊FACTA」の1月号（12月20日発行）に「ソニー暗号破られた『電子マネー』」という記事を掲載した。
　記事の内容は、電子マネー「Edy」「Suica」や、おサイフケータイクレジット「iD」「QUICPay」「VISATOUCH」といったサービスに採用されている非接触IC「FeliCa」の暗号が破られたというもの。研究者らは情報処理推進機構（IPA）に連絡し、IPAも暗号が破られたことを確認した、としている。
　記事ではFeliCaの暗号が危険な根拠として、(1)FeliCaは共通鍵方式を採用したため、公開鍵方式に比べて破られやすい、(2)現行FeliCaが採用しているEEPROMを利用したシステムではセキュリティのレベルが低い、という2点を挙げている。また、暗号解析のデモンストレーションを見たという人物が「本来は見えないはずのIC内の情報があっさりと見てとれただけでなく、その改変も可能だった」とコメントしている。

　ソニーは11月7日に富士通と共同で新しいカード向けFeliCaチップを発表しているが（11月8日の記事参照）、記事ではその理由を、現在流通している第1世代のFeliCa（EEPROMを採用）に代わり、FRAMを採用した新バージョンのFeliCaを採用することで、セキュリティレベルを上げられ、安全性をアピールできるためだとしている。

　ソニーではこの記事について、「暗号が破られたというのは事実無根。ソニーとしてはそのような事実は確認していないし、IPAからの連絡ももちろん来ていない」（広報部）と反論している。「新バージョンのFeliCaでFRAMを採用した理由は、低消費電力と処理速度の向上が大きい。またメモリ容量を増やした新モデルを発表したのは、ラインアップ拡充のためであり、記事にあるような（セキュリティに問題があるからという）理由ではない。また、FeliCa内にはいくつもの暗号があるが、破られたという暗号がどれなのかも書かれていない。このような記事を書かれることは、会社として非常に遺憾だ」（ソニー広報部）

　■記事内容は非常に曖昧

　実際、記事中ではどの暗号の鍵が破られ、それが何ビットだったのかなど、具体的な内容は語られていない。また暗号が解かれたのはEdyのように書かれているが、それも明らかにはしておらず、客観的に見て、説得力に欠ける内容になっていることは否めない。

　月刊FACTA編集部ではITmediaの取材に対し「電話で答えられるような内容ではない。（暗号という）微妙な話題であり、情報源の秘匿などの観点から（も話せない）。暗号解析を見たという証言は複数あった。記事の内容には自信を持っている」とコメントしている。

http://www.itmedia.co.jp/enterprise/articles/0612/20/news103.html


ソニー、「ＦｅｌｉＣａ」に関する報道についてコメント発表

「非接触ＩＣカード・フェリカに関する一部報道」について


　弊社が開発した非接触ＩＣカードの技術方式　ＦｅｌｉＣａ（フェリカ）は、ＩＣカードや携帯電話にＩＣチップとして搭載され、電子マネーや交通乗車券等のサービスに使われています。
　このフェリカについて過日ある月刊誌で「電子マネーの暗号が破られた」との報道がなされました。弊社では１９９５年にフェリカ製品の市場導入をして以来、セキュリティに関する事故の報告は一件も受けておりません。またフェリカの暗号が解読されたことについても弊社では確認しておりません。フェリカ技術はそれ自体で十分なセキュリティを有しており、電子マネーシステム全体のセキュリティを確保して運用を行っています。
　今後ともお客様に安心してフェリカでのサービスをご利用いただけますよう、ここにお知らせいたします。

http://release.nikkei.co.jp/detail.cfm?relID=149146&lindID=1


「フェリカ」暗号破り説　情報漏洩も加わって騒然

ICカード乗車券「Suica(スイカ)」や電子マネー「Edy(エディ)」に使われている非接触型ICカード規格「FeliCa(フェリカ)」。暗号が解読された、という報道が出たかと思えば「電子マネー極秘情報流出」という見出しを掲げた報道も登場した。真相ははっきりしないが、周辺がやけに騒がしい。

発端は有名ブロガーとして知られる「切込隊長」こと山本一郎さんのブログの、2006年12月18日の、こんな書き込みだ。

「FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー（フェリカネットワークス）は公表するべきではないかと思います」
暗号を破り、ソニーは全面否定

この2日後の12月20日に発売された年間予約購読制の経済雑誌「FACTA(ファクタ)」もトップ項目でこの問題を報じ、騒ぎが広がった。

これを受けて翌21日にはソニーが「弊社では1995年にフェリカ製品の市場導入をして以来、セキュリティに関する事故の報告は一件も受けておりません。またフェリカの暗号が解読されたことについても弊社では確認しておりません」と、これを否定するコメントを出し、各ネットメディアもこれを報じた。これらの記事では「ソニーは全面否定」という部分を前面に押し出し、「客観的に見て、説得力に欠ける内容になっていることは否めない(ITMedia)」「雑誌、ブログ記事ともに、FeliCaの暗号を破った場面を直接確認したという記述は見あたらず、いずれも噂レベルと判断できる(ITPro)」などとファクタの報道に疑問を投げかける声が相次いだ。

もっとも、ファクタの側は編集長ブログで、フェリカが電子マネーのデファクト・スタンダードであることから「フェリカの暗号が破られ、香港や中国のマフィアの餌食になる可能性の高い電子マネーに、自ら警告を出しもせず、回収さえしないのは、それ自体が罪ではないのか」書くなど、鼻息は荒いままだ。さらに、ファクタの記事に疑問符を付けたメディアを「ITMediaはソニーの太鼓もちかね」「御用聞き記者」などとこき下ろしてもいる。

「セキュリティーに影響するものは含まれていません」
実はこのブログ、12月22日付で、ソニーの子会社であるフェリカネットワークスに06年3月まで勤務していた派遣社員が使っていた私用PCがウイルスに感染し、情報流出を引き起こしていた、と書いている。

これの後追いなのか、夕刊フジは12月27日、「電子マネー 極秘情報流出」という大見出しで報じ、再びフェリカに注目が集まることになった。毎日新聞も12月28日朝刊のベタ記事でこのことを報じている。

フェリカネットワークス(FN社)の広報課ではJ-CASTニュースに対して

「(FN社の大株主である)NTTドコモから11月21日、流出の指摘を受けました。流出したのは、一般のお客様の個人情報ではなく、弊社が契約している企業がプログラムを作成する際に使うマニュアルなどです。セキュリティーに影響するものは含まれていません」
としている。賠償問題については

「情報を流出させた社員については、派遣社員という身分なので、直接その社員に賠償を求めたりするのではなく、派遣元の企業と協議することになると思います」
と話している。さらに、流出した内容と影響範囲が特定できていることから、マスコミ向けの発表は予定されていないという。

http://www.j-cast.com/2006/12/28004703.html


最後までご覧いただき、ありがとうございます。
クリックしていただけるとありがたいです。

人気blogランキングへ
ブログランキング ブログ村