個別の事例の話としてはさておき、一般論としては正しくて、「いつまで経っても対応しない」からあえて報道する、以外の理由で「スクープだ!報道して社会問題にするぞ!」というのは報道機関としてはおかしい。
結局これの真偽が気にはなる >「旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにおいても攻撃が可能」
はい。そしてマスコミに垂れ込んだ一部のセキュリティ関係者も大概おかしい。
"筆者自身がその実物や技術的問題を確認できているわけではないのでここでは触れない" いや、じゃあこの記事も提灯記事じゃね?
同じ脆弱性の件かは知らないが、以前からFACTAや山本一郎氏が騒いではいたような、Felicaの脆弱性。
この脆弱性を発見したいう「アンノウン・テクノロジー」や代表の切敷裕大氏でググると、いろいろ疑いたくなってしまうなぁ。
一部マスコミは脆弱性は開発側の重大なミスだから同様の事象が発生しないよう厳しく対応すべきとでも考えてるのかな。ミスやルール違反が原因ということもあるけど、そうでないケースもあることはもっと知られるべき
危険なsuica交換します詐欺とかありそうだし
Xで「前から知ってた」みたいな発言してた人はもっと前の時期から知ってそうな雰囲気を出して居た気がするんだが実際にはどうなのか
ここ2、3年で政治家の倫理観の底が抜けた感じがあるが、マスコミにも同じ事が言えるように感じる。youtubeメディアの何でも出す文化に追従するように、協調をしなくなった。当のyoutubeメディアは配慮しているのだが。
“今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ”
どんどんとマスコミ自らが、自ら信頼信用を失っていくのは、今のアメリカを見ているようだなぁ
こういう報道ガイドラインって、各メディア企業の中では公式な位置付けってあるのかな。各記者の善意任せなのかな
ですよねえ。今回一番の問題は共同通信の報道姿勢だと思います。公共性が何ひとつない。今だとこの報道を利用した詐欺の方が被害がでかいまでありうる。専門家を名乗るアンノウン・テクノロジーズの行動は総会屋ぽい
場合によっては報道されることが攻撃者の利益になりうる話なんでねえ。なんとなく労使関係のごたごたがあったのではと疑いたくなる程度には今回のタレコミなどを含めた動きはちょっと変に感じる。
Log4jと同じで、対策情報無しに発表するのはゼロデイアタックを増やすだけだと考えるようになった
こういうガイドラインに違反してるから報道はおかしい、と一律に言うのもおかしい。個別事情で判断すべき。例えば大川原工業の冤罪の構造を明らかにした報道も国家公務員法(守秘義務)違反なので。
“報道を繰り返して危機を煽るメディア各社の存在だ。”
残高書き換えはできても、使う段で何かしらの整合性の問題で止められるだろうなとは思う。『各社のサービスではFeliCaそのものとは別に追加のセキュリティ対策』/ オフライン取引の例のようにザルの可能性もあるが
そういうマスコミに脊髄反射して騒ぐ人間が増えた。人の不幸が好きなやつとか、もう使わないとか宣言するやつとかな。こいつらが(も)問題。人の問題を使ってマウントするバカ。
んで、Suicaの残高が改変された場合、電車乗り放題になるのかね。
共同通信がスクープ狙いでやらかした、ってことか。ゼロデイにならないよう対策を講じてから公表、は通常の脆弱性対応のパターンなので理解できる。対応中の段階で共同通信がリークしてしまった。
『2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、一連のプレスリリース掲出という流れに至った』
この理屈を正面から認めると報道管制肯定論になってしまう。業界側の論理だけで決めるわけにもいかない。何日間か猶予を認めるとか何かバランスをとるルールが必要かも
この記事を読んで「そうだそうだ」って思う人本当にお願いだから一生涯に渡ってセキュリティと広報には関わらないでほしい。
潰したら?
"コンピュータを利用したシステムには必ずついてまわる「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構 (IPA) の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動"
>今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ。
ガイドラインの表の小さな※に「公表日は脆弱性の起算日から45日を目安としますが、さらに時間がかかる場合はJPCERT/CCとご相談ください。」とあるけれどここはどうなっているんだろう。
「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動 > 周知されてないんだろうね...
夏枯れで話題が無かったとはいえ
「推測を交えて筆者の見解を述べれば、…社会インフラが崩壊するような可能性は極めて低い」の根拠薄弱すぎません? チャージ金額を改竄されたら決済インフラが崩壊するのでは?
今回報道されてる程度の脆弱性(3DES+鍵使い回し)、本気で攻撃考えてる人には遥か昔から既知だと思う
脆弱性公表のワークフローはIPAのみならず「security issueは別の窓口へ」ってやってる大企業OSSの大半にも部分的に通底するものであり、本質的に必要な情報統制(IPAは開発側の統制を許さない)
記事を読んで反感の人はマスゴミ誤報上等か、IPAやJPRECT無視したゼロデイ攻撃推奨してるのかな。なら本当に絶対に三族末代途絶えるまでIT全般に興味持たないで/発見者と共同通信とは利害(受発注)もあり度し難いのよ
共同通信の報道姿勢はモラルのないものが多い。特に速報の場合、なんなら誤解を生むのが目的としか思えないような情報の省き方、あるいは足し方をするので、できるだけ脊髄反射しないように心掛けてる。
報道しなかったら「報道しない自由」と叩かれ、報道したら報道するなと言われ。
リークしてしまう報道機関はIPA・JPCERT/CCの早期警戒パートナーシップを全くもって理解できてないよね/連絡がつかない場合や修正されない場合は、修正を待たず公知になるフローも存在するし、過去実績もある
マスコミはoffice氏裁判とか知らないからこういうことするのかねえ。古のネットメディアなら知ってるからやらないよな。
報道後、過去同じような脆弱性を探ろうとしたら圧力を掛けられた的に主張してたアカウントがいたけど、元々こういったアンチから狙われていたのかもなあ…
こういうのは何色帽子のハッカーになるんだ
誘拐事件の報道協定みたいな仕組みはそれなりに公共性ある、たぶんこれも同様のシステム要るやつだなぁ…。
仮に旧式の物理カードが破られただけで原則として個人に被害は無いとしても、旧式の物理カードを買い集めて、旧式リーダでオフライン取引している業者を狙い撃てばかなりの損害を出せるのでは?
ICクレカタッチ決済に一気に変換したいんでしょ
情報処理安全確保支援士としてはIPAが正なのでアウトかな。Zero-dayが既にあるか可能性が非常に高いとかの事由はあるんか?何も考えず全部すぐに公開すべきって人はセキュリティとか関わらないで欲しい
Google はこれをさらに悪質にした事を良くやるイメージがある。俺が発見したんだというアピール欲と権力欲が強すぎてパッチ公開の直前に、実行コード付きで脆弱性を公開したりしている。 https://japan.zdnet.com/article/35059846/
FeliCaの秘密、ソニーさんたら隠し上手だにゃ!ボクも秘密のおやつ隠し持ってるにゃ!
脆弱性が修正されるか45日間経つまで公表しない事を無視してスクープしたなら、結構まずい。
7月末に報告されたばかりだとのことで、対応にもう少し時間は掛かって当然だと思う。
共同通信には反省という概念が無いのでな
「共同通信が8月28日夕方に配信」「報道を繰り返して危機を煽るメディア」「不必要に煽って被害を拡大するようなまね」「ガイドラインの範囲を逸脱」
今じゃ禁止されてるマジコンを一冊の本にして、使い方から中のゲームの入手方法まで記載してた過去がある出版業会にモラルを求めるのがおかしいのかもしれない。
共同通信の【速報】で始まる記事の中身の無さに対して期待を裏切られたことはない。
筆者がソニーに確認したところ、2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、
“リリースを出しているが、詳細については精査中でコメントでき”
報道機関に、早期警戒パートナーシップに参画してもらう事ができると平和になる?報道の自由という言葉の先走りが招く悲劇
ゼロデイとかもそうだけど、なんですぐに公表しなかったんだ、っていうだけのバカどもを想定しないといけないから大変なんだよな
あと数年もしたら、AIが報道機関に変わって詳細な内容を教えてくれるようになるのかな。それともAIが情報統制して完全に隠蔽されてしまうのかな
公表内容は「秘密鍵を抜かれたとしてもたいして危険じゃない」というものだったのであって、新型に関係するのはあんまり意味のない情報である。というか「鍵が抜ける」のなら当然そうなる。
共同通信はとにかく社会煽動にしか興味がない人たちなので期待するほうがおかしい
“JPCERT/CCにまず報告を行う” このフローを飛ばしてたら、脆弱性が起こすトラブルを幇助してるのと変わらない
“共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシ
報道機関ってたいがい何も考えてない印象はある
共同通信に報道リテラシーを求めることが間違いだよ。バイラルメディアだもの。
ラドンも、そうだそうだと言っています
この記事をおすすめしました
なんだかわからないけど「正しく怖がる」かぁ
"脆弱性の報告者自身がメディアに積極的に情報を公開している点も気になる。ガイドラインの範囲を逸脱しており、あまり感心できない動きだと考える"
今回の一件で界隈の我々エンジニアが理解すべきはアンノウン・テクノロジーやその関係者の行動は全くもって不適切でそれネタとした共同通信も害悪であるという事。今後、業界内でこの関係者と絡むときは思い出すべき
ハイジャックの時の報道規制のような仕組みがあればいいのに。
「今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ。(snip)ガイドラインの範囲を逸脱しており、あまり感心できない動きだと考える。」
ブコメ "こういうガイドラインに違反してるから報道はおかしい、と一律に言うのもおかしい。個別事情で判断すべき。例えば大川原工業の冤罪" https://www.47news.jp/13076288.html 解説 https://anond.hatelabo.jp/20250828201032
情報セキュリティ早期警戒パートナーシップガイドラインを報告された方があまり理解されていなかったようだけれども、一番の問題なのは報道する側よ。取り付けを煽るようなもんでしょ。
“2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、一連のプレスリリース掲出という流れに至った”
「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは?
個別の事例の話としてはさておき、一般論としては正しくて、「いつまで経っても対応しない」からあえて報道する、以外の理由で「スクープだ!報道して社会問題にするぞ!」というのは報道機関としてはおかしい。
結局これの真偽が気にはなる >「旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにおいても攻撃が可能」
はい。そしてマスコミに垂れ込んだ一部のセキュリティ関係者も大概おかしい。
"筆者自身がその実物や技術的問題を確認できているわけではないのでここでは触れない" いや、じゃあこの記事も提灯記事じゃね?
同じ脆弱性の件かは知らないが、以前からFACTAや山本一郎氏が騒いではいたような、Felicaの脆弱性。
この脆弱性を発見したいう「アンノウン・テクノロジー」や代表の切敷裕大氏でググると、いろいろ疑いたくなってしまうなぁ。
一部マスコミは脆弱性は開発側の重大なミスだから同様の事象が発生しないよう厳しく対応すべきとでも考えてるのかな。ミスやルール違反が原因ということもあるけど、そうでないケースもあることはもっと知られるべき
危険なsuica交換します詐欺とかありそうだし
Xで「前から知ってた」みたいな発言してた人はもっと前の時期から知ってそうな雰囲気を出して居た気がするんだが実際にはどうなのか
ここ2、3年で政治家の倫理観の底が抜けた感じがあるが、マスコミにも同じ事が言えるように感じる。youtubeメディアの何でも出す文化に追従するように、協調をしなくなった。当のyoutubeメディアは配慮しているのだが。
“今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ”
どんどんとマスコミ自らが、自ら信頼信用を失っていくのは、今のアメリカを見ているようだなぁ
こういう報道ガイドラインって、各メディア企業の中では公式な位置付けってあるのかな。各記者の善意任せなのかな
ですよねえ。今回一番の問題は共同通信の報道姿勢だと思います。公共性が何ひとつない。今だとこの報道を利用した詐欺の方が被害がでかいまでありうる。専門家を名乗るアンノウン・テクノロジーズの行動は総会屋ぽい
場合によっては報道されることが攻撃者の利益になりうる話なんでねえ。なんとなく労使関係のごたごたがあったのではと疑いたくなる程度には今回のタレコミなどを含めた動きはちょっと変に感じる。
Log4jと同じで、対策情報無しに発表するのはゼロデイアタックを増やすだけだと考えるようになった
こういうガイドラインに違反してるから報道はおかしい、と一律に言うのもおかしい。個別事情で判断すべき。例えば大川原工業の冤罪の構造を明らかにした報道も国家公務員法(守秘義務)違反なので。
“報道を繰り返して危機を煽るメディア各社の存在だ。”
残高書き換えはできても、使う段で何かしらの整合性の問題で止められるだろうなとは思う。『各社のサービスではFeliCaそのものとは別に追加のセキュリティ対策』/ オフライン取引の例のようにザルの可能性もあるが
そういうマスコミに脊髄反射して騒ぐ人間が増えた。人の不幸が好きなやつとか、もう使わないとか宣言するやつとかな。こいつらが(も)問題。人の問題を使ってマウントするバカ。
んで、Suicaの残高が改変された場合、電車乗り放題になるのかね。
共同通信がスクープ狙いでやらかした、ってことか。ゼロデイにならないよう対策を講じてから公表、は通常の脆弱性対応のパターンなので理解できる。対応中の段階で共同通信がリークしてしまった。
『2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、一連のプレスリリース掲出という流れに至った』
この理屈を正面から認めると報道管制肯定論になってしまう。業界側の論理だけで決めるわけにもいかない。何日間か猶予を認めるとか何かバランスをとるルールが必要かも
この記事を読んで「そうだそうだ」って思う人本当にお願いだから一生涯に渡ってセキュリティと広報には関わらないでほしい。
潰したら?
"コンピュータを利用したシステムには必ずついてまわる「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構 (IPA) の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動"
>今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ。
ガイドラインの表の小さな※に「公表日は脆弱性の起算日から45日を目安としますが、さらに時間がかかる場合はJPCERT/CCとご相談ください。」とあるけれどここはどうなっているんだろう。
「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動 > 周知されてないんだろうね...
夏枯れで話題が無かったとはいえ
「推測を交えて筆者の見解を述べれば、…社会インフラが崩壊するような可能性は極めて低い」の根拠薄弱すぎません? チャージ金額を改竄されたら決済インフラが崩壊するのでは?
今回報道されてる程度の脆弱性(3DES+鍵使い回し)、本気で攻撃考えてる人には遥か昔から既知だと思う
脆弱性公表のワークフローはIPAのみならず「security issueは別の窓口へ」ってやってる大企業OSSの大半にも部分的に通底するものであり、本質的に必要な情報統制(IPAは開発側の統制を許さない)
記事を読んで反感の人はマスゴミ誤報上等か、IPAやJPRECT無視したゼロデイ攻撃推奨してるのかな。なら本当に絶対に三族末代途絶えるまでIT全般に興味持たないで/発見者と共同通信とは利害(受発注)もあり度し難いのよ
共同通信の報道姿勢はモラルのないものが多い。特に速報の場合、なんなら誤解を生むのが目的としか思えないような情報の省き方、あるいは足し方をするので、できるだけ脊髄反射しないように心掛けてる。
報道しなかったら「報道しない自由」と叩かれ、報道したら報道するなと言われ。
リークしてしまう報道機関はIPA・JPCERT/CCの早期警戒パートナーシップを全くもって理解できてないよね/連絡がつかない場合や修正されない場合は、修正を待たず公知になるフローも存在するし、過去実績もある
マスコミはoffice氏裁判とか知らないからこういうことするのかねえ。古のネットメディアなら知ってるからやらないよな。
報道後、過去同じような脆弱性を探ろうとしたら圧力を掛けられた的に主張してたアカウントがいたけど、元々こういったアンチから狙われていたのかもなあ…
こういうのは何色帽子のハッカーになるんだ
誘拐事件の報道協定みたいな仕組みはそれなりに公共性ある、たぶんこれも同様のシステム要るやつだなぁ…。
仮に旧式の物理カードが破られただけで原則として個人に被害は無いとしても、旧式の物理カードを買い集めて、旧式リーダでオフライン取引している業者を狙い撃てばかなりの損害を出せるのでは?
ICクレカタッチ決済に一気に変換したいんでしょ
情報処理安全確保支援士としてはIPAが正なのでアウトかな。Zero-dayが既にあるか可能性が非常に高いとかの事由はあるんか?何も考えず全部すぐに公開すべきって人はセキュリティとか関わらないで欲しい
Google はこれをさらに悪質にした事を良くやるイメージがある。俺が発見したんだというアピール欲と権力欲が強すぎてパッチ公開の直前に、実行コード付きで脆弱性を公開したりしている。 https://japan.zdnet.com/article/35059846/
FeliCaの秘密、ソニーさんたら隠し上手だにゃ!ボクも秘密のおやつ隠し持ってるにゃ!
脆弱性が修正されるか45日間経つまで公表しない事を無視してスクープしたなら、結構まずい。
7月末に報告されたばかりだとのことで、対応にもう少し時間は掛かって当然だと思う。
共同通信には反省という概念が無いのでな
「共同通信が8月28日夕方に配信」「報道を繰り返して危機を煽るメディア」「不必要に煽って被害を拡大するようなまね」「ガイドラインの範囲を逸脱」
今じゃ禁止されてるマジコンを一冊の本にして、使い方から中のゲームの入手方法まで記載してた過去がある出版業会にモラルを求めるのがおかしいのかもしれない。
共同通信の【速報】で始まる記事の中身の無さに対して期待を裏切られたことはない。
筆者がソニーに確認したところ、2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、
“リリースを出しているが、詳細については精査中でコメントでき”
報道機関に、早期警戒パートナーシップに参画してもらう事ができると平和になる?報道の自由という言葉の先走りが招く悲劇
ゼロデイとかもそうだけど、なんですぐに公表しなかったんだ、っていうだけのバカどもを想定しないといけないから大変なんだよな
あと数年もしたら、AIが報道機関に変わって詳細な内容を教えてくれるようになるのかな。それともAIが情報統制して完全に隠蔽されてしまうのかな
公表内容は「秘密鍵を抜かれたとしてもたいして危険じゃない」というものだったのであって、新型に関係するのはあんまり意味のない情報である。というか「鍵が抜ける」のなら当然そうなる。
共同通信はとにかく社会煽動にしか興味がない人たちなので期待するほうがおかしい
“JPCERT/CCにまず報告を行う” このフローを飛ばしてたら、脆弱性が起こすトラブルを幇助してるのと変わらない
“共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシ
報道機関ってたいがい何も考えてない印象はある
共同通信に報道リテラシーを求めることが間違いだよ。バイラルメディアだもの。
ラドンも、そうだそうだと言っています
この記事をおすすめしました
なんだかわからないけど「正しく怖がる」かぁ
"脆弱性の報告者自身がメディアに積極的に情報を公開している点も気になる。ガイドラインの範囲を逸脱しており、あまり感心できない動きだと考える"
今回の一件で界隈の我々エンジニアが理解すべきはアンノウン・テクノロジーやその関係者の行動は全くもって不適切でそれネタとした共同通信も害悪であるという事。今後、業界内でこの関係者と絡むときは思い出すべき
ハイジャックの時の報道規制のような仕組みがあればいいのに。
「今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ。(snip)ガイドラインの範囲を逸脱しており、あまり感心できない動きだと考える。」
ブコメ "こういうガイドラインに違反してるから報道はおかしい、と一律に言うのもおかしい。個別事情で判断すべき。例えば大川原工業の冤罪" https://www.47news.jp/13076288.html 解説 https://anond.hatelabo.jp/20250828201032
情報セキュリティ早期警戒パートナーシップガイドラインを報告された方があまり理解されていなかったようだけれども、一番の問題なのは報道する側よ。取り付けを煽るようなもんでしょ。
“2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、一連のプレスリリース掲出という流れに至った”