DESのFeliCaが未だにあるのも驚きだけど、ソニーや官僚組織の保身のための発見者バッシングが酷すぎる。これじゃバグを善意で報告する人いなくなるぞ
リスクとして考慮できるほどDES仕様でのFelicaカードって現存する?SonyばっかりだけどPanasonic/Nuvotonについての言及もないが…
SONYが全てを握っていることがFeliCaの脆弱性であろう。電子決済の花形になることを期待されたFeliCaがこの体たらくである。
これはこの発見者の言い分が正しい。最近安全確保支援士のオンライン講習受けたけどやってること違うもん。所詮理想論だけの制度だったと思われてもしょうがないよね。
古いニュースの奴だな。
FeliCa RC-S915のDES(56bit)鍵特定脆弱性を巡り、2025/6/13発見・8/28公表の経緯と批判を述べる声明。
"正当な理由がない限り脆弱性関連情報を第三者に開示するな" (それはさ、パニックや愉快犯や便乗犯罪の被害者は情報強者でなく「脆弱性?なにそれ?」のワシら情報弱者ゆえ)/https://x.gd/ikDbq 個人でできる対策の由
アンノウン・テクノロジ代表切敷裕大氏、個人サイトで弁明。どうもセキュリティを狭義で捉えすぎな印象。たぶん目的が違う。 参考 FeliCaの“脆弱性”報道はなにが問題なのか - https://www.watch.impress.co.jp/docs/topic/2045264.html
古いFelicaは使用禁止(システムでのサポートも含め※今やこっちが重要)するしかないと
【要約】56bit DES採用FeliCaの鍵特定リスクに対し、唯一の対策であるAES移行を促す声明。早期公表の発見者を規約違反と非難する国・IPAへの反論と、リスクを過小評価するソニーに対して移行支援の実施を強く求めている。
色々すっ飛ばしてマスコミに大発表した人か…。
昔Sonyと仕事した時も、セキュリティに関して綱渡り的な仕様でびっくりしたのだけど、まあ、当時の計算能力と処理能力の兼ね合いで悩んだ記憶があるな。Felicaもいろいろあったからなー。
総当たりで突破できるのは時間の問題、と感じたけど、脆弱性公表に関して怒られたことにキレたのか。まあ、ミュトス時代に考えないといけないことだよなー 脆弱性公表してオレツエーやりたかったならまあそうか…
チャッピーの要約によると、「FeliCa脆弱性の早期公表理由と、ソニー・IPAらの声明対応を批判。DES利用中止と影響範囲・移行指針の明示を求めてる。」
FeliCa の脆弱性公表について
DESのFeliCaが未だにあるのも驚きだけど、ソニーや官僚組織の保身のための発見者バッシングが酷すぎる。これじゃバグを善意で報告する人いなくなるぞ
リスクとして考慮できるほどDES仕様でのFelicaカードって現存する?SonyばっかりだけどPanasonic/Nuvotonについての言及もないが…
SONYが全てを握っていることがFeliCaの脆弱性であろう。電子決済の花形になることを期待されたFeliCaがこの体たらくである。
これはこの発見者の言い分が正しい。最近安全確保支援士のオンライン講習受けたけどやってること違うもん。所詮理想論だけの制度だったと思われてもしょうがないよね。
古いニュースの奴だな。
FeliCa RC-S915のDES(56bit)鍵特定脆弱性を巡り、2025/6/13発見・8/28公表の経緯と批判を述べる声明。
"正当な理由がない限り脆弱性関連情報を第三者に開示するな" (それはさ、パニックや愉快犯や便乗犯罪の被害者は情報強者でなく「脆弱性?なにそれ?」のワシら情報弱者ゆえ)/https://x.gd/ikDbq 個人でできる対策の由
アンノウン・テクノロジ代表切敷裕大氏、個人サイトで弁明。どうもセキュリティを狭義で捉えすぎな印象。たぶん目的が違う。 参考 FeliCaの“脆弱性”報道はなにが問題なのか - https://www.watch.impress.co.jp/docs/topic/2045264.html
古いFelicaは使用禁止(システムでのサポートも含め※今やこっちが重要)するしかないと
【要約】56bit DES採用FeliCaの鍵特定リスクに対し、唯一の対策であるAES移行を促す声明。早期公表の発見者を規約違反と非難する国・IPAへの反論と、リスクを過小評価するソニーに対して移行支援の実施を強く求めている。
色々すっ飛ばしてマスコミに大発表した人か…。
昔Sonyと仕事した時も、セキュリティに関して綱渡り的な仕様でびっくりしたのだけど、まあ、当時の計算能力と処理能力の兼ね合いで悩んだ記憶があるな。Felicaもいろいろあったからなー。
総当たりで突破できるのは時間の問題、と感じたけど、脆弱性公表に関して怒られたことにキレたのか。まあ、ミュトス時代に考えないといけないことだよなー 脆弱性公表してオレツエーやりたかったならまあそうか…
チャッピーの要約によると、「FeliCa脆弱性の早期公表理由と、ソニー・IPAらの声明対応を批判。DES利用中止と影響範囲・移行指針の明示を求めてる。」