“「FeliCa」のICチップのうち、2017年以前に出荷された一部のICチップについて、" (中略) "当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。”
「ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください。」カードを人に渡さなければ大丈夫とか、自販機に偽のリーダーつけられたらやばいとかどの程度か教えてほしい。
データの改竄が可能って事は満員電車でこっそり白カードにワイプされたり、IDコピーされて残金が取られるとかは有り得そう。ユーザーとしてはカードケースにアルミホイル巻くくらいかな
昔FACTAがFelicaがクラックされたと騒いでたことがあったのを思い出したけどもう19年前のことなのか
「当該チップにおいてデータの読み取りや改ざんが実行される可能性がある」ICチップが分かっているなら通信時にICチップのシリアルとか読み取って強制交換とかさせられるんだろうか
改竄して壊せるだけなのか、それとも改竄することで他人のFeliCaに成りすましたり残高増やしたりできるのか、改竄できる対象はカードだけなのかスマホの内蔵チップも含むのか
>当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました
B-CASカードみたいなことをやられてるのかな
このページCookieの同意UIがアレで読めないの自分だけかな。ふるいSuicaの残高を増やす方法が見つかったら教えてください/古いのクラックしたら新しいのも突破できるのか(?)。夢がある
まだ何もわからんな。
IPA "の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました"
対象チップから暗号鍵を抽出出来るというのと、生まれてからずっと同じ暗号鍵を使い回しているから実質全てのチップが対象になり得ると。 https://x.com/mattn_jp/status/1961001135428272240
よくわからんが、最後「引き続き安心してご利用ください」という〆になるのは違和感があった
何を安心していいのかも誰が対象になりうるのかも全くわからないんだけども。
安心要素なし
2017年に気づいてサイレント改修したってんなら悪質だなぁ。
情報を総合すると、旧型felicaの中に今のクラック技術で鍵が抜けるものがあり、その鍵をつかって2017年までのFelicaを改竄可能、と言うこと? おさいふ・モバイル系は影響無しとJR/Docomoがリリース出してる。情報が欲しい
改竄できるけど安心とは?
“ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください。”/この話の流れで「安心してご利用」って言われても
影響範囲とか利用者としてどれくらい気にする必要がもう少し詳細欲しいな
「2017年以前に出荷された一部のICチップ」←ついこの前みたいな感覚に陥るけど、8年前なんだよな。「関連事業者からの情報を踏まえ引き続き安心してご利用ください」←どこで安心できるのか分からないが。
Felicaも、マイナカードのように利用期限を決めて、より高度な暗号に全て更新できた方が良かったね。マイナカードでは問題が起きなかったけど、フェイルセーフは大事。
ひろみちゅせんせいはなんか言ってるのかな
https://www.fukuishimbun.co.jp/articles/-/2394281
もうちょっと具体的なことを言ってくれないと安心も何もないのだけれど…
なんもわからんプレスリリース。一応FeliCaで深刻な脆弱性は初めてなんかな。そう言う意味では今まではよく耐えた様にも見えるが。
発表前にどこかから情報が漏れるという、もう一つのセキュリティ問題。
使う方は変な所で使わない限りは何もされないから安心という理論かな。改造したカードで使い放題とか出来ちゃうんだろうけど。
新しければ関係ないのか
古いチップから鍵を読み出して、新しいチップでも鍵を使って秘密ストレージにもアクセス出来るようになる?従って、古いチップを一掃して鍵をリプレースする必要があるってことか?
フェリかよ!(マヂかよ!
かなり限定的なのかな?
ん?まだ使い続けられるのか??私の2003年発行のEdyはどうなるのか・・?
東京駅100周年Suicaはだめなやつか
説明を見ると、古い Felica から暗号鍵を取り出して、全ての Felica をデータ改ざんできるって書いてある。電子マネー系は自社サービスのセキュリティで対応できるが ID/QuickPay は不正監視しますだから、防げないようだが?
FeliCaを終わらせる一撃になったりして
つまりどういうことだってばよ → https://www.fukuishimbun.co.jp/articles/-/2394281 なるほどやばいやん。
「FeliCaを利用するサービスのセキュリティは、FeliCa ICチップのセキュリティに加え、サービスごとにシステム全体で構築」「ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください
Suica終了のお知らせ?
“外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。”
2017年以前に出荷された一部のICチップについて、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。
流石に動きが早い?
ソニーはおもちゃしか作れない会社
「楽天Edy」は独自のセキュリティ対策を導入しているため、お客様への影響はございません。 https://edy.rakuten.co.jp/info/2025/0828_notice/
文章として成り立ってないんだけど
Felicaは鯖に決済データ持ってるから(´・ω・`)
全く中身の無い声明。恥を知って欲しい。
暗号鍵がずっと同じで運用し続けるなんてあり得るの?巨大インフラなのにクラックされたら…やばいじゃん
VDMによる仕様検証を持ってしても仕様漏れは防げないのか。
JRが来年あたりから大々的にクレカタッチ決済で電車乗れますと広報しだすのかな・・・。
安全性に問題は無いとは言わねえくせに安心して使えとおっしゃるソニー様ですね。
2017年以前のカードはソニーが責任もって差し替えが発生するのかな
簡単に言うと…続報待ちでおk?
同じカード8年以上も使っている人はほぼいないから安心って言ってるのだろうか?
FeliCaの法人向け情報か…ボクにはちょっと難しいにゃ。でも、猫の手も借りたい企業もあるかにゃ?
悪いことを考えてる人が「無限Felica」を作ることが可能な抜け穴が見つかったんじゃないの?善良なカードユーザーにはほぼ影響なくて、全国の交通系会社が被害を受けるということでは?
偽造テレカみたいなのを作って残高チャージは可能だけど普通のユーザーにとっては問題無い感じか
つまりどういうことだってばよ
FeliCa ICチップに脆弱性があるのは確かだけど、セキュリティはシステム全体で維持されるから問題ないよ、という説明。なのかな? そういう問題なのか?
どうやらこの記事は暗号化されているようだ・・・。
ブクマカご自慢の世界に誇る日本の高コスト規格Felicaがなぜ…Felicaでなければ!端末側処理方式でなければ!日本のラッシュは捌けないFelica最強!なのになぜ…
もしかしてイオン系列のクレジットカードで被害多い要因の一つだったりする!?
httpsが無効化されてhttpで通信させられるような話。そこからどこまでセキュリティ対策をしているかは各サービス次第。
これを機にフェリカやめるのどう?
http://linode.mono.ca.gov/help-just-dial-how-do-i-cancel-my-geek-squad-membership
まあDESなんで…。てか手癖の悪いやつが漏らすのほんとアレ
携帯以外に8年前のチップを搭載した稼働中の端末って何だ・・?/カードか!自分も先代のキャッシュカードは10年使ったからあり得る話だね。フェリカ使ってないから無問題とは昨今の企業姿勢ではそうとも言い切れず。
報道で「新旧で暗号鍵を共有」しているという情報があるけど、調べてみたらそもそも3DESとAESで規格上の鍵長が違う(56/112/168bitsと128/192/256bits)ので、暗号鍵は共有していないと思う。
Felica終わりやん。モバイルFelicaは影響を受けないらしい。運用でカバーするにしても、Felicaの利点は失われつつあるのでフェードアウトさせていくしかなさそう
セキュリティ事例だから具体的な手法は説明されないような
「当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました」→「引き続き安心してお使いください」文章がバグっててww
Suicaやモバイルが大丈夫って話だと8年前から保持されてる現役のチップって何%ですか?みたいな話になってきてリスクは低いって感じなのかね
なにもわからん
旧型が3DESで、新型はそれにAESを追加しているらしい。ということでトリプルDESの暗号鍵が抽出できたというニュースっぽい。そりゃ現代の計算能力ならやればできそう。カード自体の改ざんができても影響は限定的かな。
いくらなんでもひどいな。悪用が困難ならせめてそう書けば良いのに。安心すべき理由が「俺がそう言ってるから」しかないじゃん。
安心できねぇよ!
詳細→https://x.com/mattn_jp/status/1961001135428272240
古いセキュリティってコンピューターの計算能力の向上でゴリ押しで破れたりするもんなあ。
"サービスごとにシステム全体で構築され"ているのでチップ単体のセキュリティだけじゃないから安心してね、ってこと?だあるのならお知らせする必要ある?ますます意味が分からん…
“当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。(中略)引き続き安心してご利用ください。”
チップに脆弱性があったとしても、それを利用している全体システムとして安全性が担保されていれば問題はないということか。それであればどのように担保されたか発表してくれないと納得感は無いな。。
インフラ側の仕込みもあると。ふむ
読みとりをリプレースさせる作戦
古いSUICAは10年使わないと無効になるんだっけ?実質大丈夫かなとも思う
こうなってくると面倒でも定期的に交換するマイナカードの制度設計が正しかったのかもな。
プリペイド用途なので利用者の被害はあってもしれてるし、被害被るのは事業者側では?もとからそういう思想で弱い方式を選んでるカードだという理解。
これだけ読んでも何も分からないリリースだ
デバック用のバックドアでも仕組んでいたの?
こういう事がありつつ、ゆるゆるとFeliCaからの切り替えが進んでいくのだろうなあ。SuicaですらFeliCaに執着しなくなってきたし。
「2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について」
iPhone 7は2016年なので古いFelicaチップなのかどうかかな。一応古いOSにパッチは出てるけど
小銭を回収する貯金箱として使ってきたからフルで溜まってるカードかなりあるんだよな。放置していいもんか。新しいカードはAESで鍵も違うはずだからDESと同じシードで作ってない限りは…やってねーよな?
Suicaは問題無いとのこと。3DESの潜在的な脆弱性は既知なので対策済なのかなと
なんか一瞬表示されたあと、画面が消える
暗号アルゴリズムをカスタマイズしててビット長が同じだったりしてないかな(知らんけども)。
あー、自分のカードも対象となりそう。引っ越す前に作った地域のカードだから、今住む町で再発行したほうがいいのかしら。様子見。
ソニー株式会社 | FeliCa | 法人のお客様 | お知らせ
“「FeliCa」のICチップのうち、2017年以前に出荷された一部のICチップについて、" (中略) "当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。”
「ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください。」カードを人に渡さなければ大丈夫とか、自販機に偽のリーダーつけられたらやばいとかどの程度か教えてほしい。
データの改竄が可能って事は満員電車でこっそり白カードにワイプされたり、IDコピーされて残金が取られるとかは有り得そう。ユーザーとしてはカードケースにアルミホイル巻くくらいかな
昔FACTAがFelicaがクラックされたと騒いでたことがあったのを思い出したけどもう19年前のことなのか
「当該チップにおいてデータの読み取りや改ざんが実行される可能性がある」ICチップが分かっているなら通信時にICチップのシリアルとか読み取って強制交換とかさせられるんだろうか
改竄して壊せるだけなのか、それとも改竄することで他人のFeliCaに成りすましたり残高増やしたりできるのか、改竄できる対象はカードだけなのかスマホの内蔵チップも含むのか
>当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました
B-CASカードみたいなことをやられてるのかな
このページCookieの同意UIがアレで読めないの自分だけかな。ふるいSuicaの残高を増やす方法が見つかったら教えてください/古いのクラックしたら新しいのも突破できるのか(?)。夢がある
まだ何もわからんな。
IPA "の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました"
対象チップから暗号鍵を抽出出来るというのと、生まれてからずっと同じ暗号鍵を使い回しているから実質全てのチップが対象になり得ると。 https://x.com/mattn_jp/status/1961001135428272240
よくわからんが、最後「引き続き安心してご利用ください」という〆になるのは違和感があった
何を安心していいのかも誰が対象になりうるのかも全くわからないんだけども。
安心要素なし
2017年に気づいてサイレント改修したってんなら悪質だなぁ。
情報を総合すると、旧型felicaの中に今のクラック技術で鍵が抜けるものがあり、その鍵をつかって2017年までのFelicaを改竄可能、と言うこと? おさいふ・モバイル系は影響無しとJR/Docomoがリリース出してる。情報が欲しい
改竄できるけど安心とは?
“ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください。”/この話の流れで「安心してご利用」って言われても
影響範囲とか利用者としてどれくらい気にする必要がもう少し詳細欲しいな
「2017年以前に出荷された一部のICチップ」←ついこの前みたいな感覚に陥るけど、8年前なんだよな。「関連事業者からの情報を踏まえ引き続き安心してご利用ください」←どこで安心できるのか分からないが。
Felicaも、マイナカードのように利用期限を決めて、より高度な暗号に全て更新できた方が良かったね。マイナカードでは問題が起きなかったけど、フェイルセーフは大事。
ひろみちゅせんせいはなんか言ってるのかな
https://www.fukuishimbun.co.jp/articles/-/2394281
もうちょっと具体的なことを言ってくれないと安心も何もないのだけれど…
なんもわからんプレスリリース。一応FeliCaで深刻な脆弱性は初めてなんかな。そう言う意味では今まではよく耐えた様にも見えるが。
発表前にどこかから情報が漏れるという、もう一つのセキュリティ問題。
使う方は変な所で使わない限りは何もされないから安心という理論かな。改造したカードで使い放題とか出来ちゃうんだろうけど。
新しければ関係ないのか
古いチップから鍵を読み出して、新しいチップでも鍵を使って秘密ストレージにもアクセス出来るようになる?従って、古いチップを一掃して鍵をリプレースする必要があるってことか?
フェリかよ!(マヂかよ!
かなり限定的なのかな?
ん?まだ使い続けられるのか??私の2003年発行のEdyはどうなるのか・・?
東京駅100周年Suicaはだめなやつか
説明を見ると、古い Felica から暗号鍵を取り出して、全ての Felica をデータ改ざんできるって書いてある。電子マネー系は自社サービスのセキュリティで対応できるが ID/QuickPay は不正監視しますだから、防げないようだが?
FeliCaを終わらせる一撃になったりして
つまりどういうことだってばよ → https://www.fukuishimbun.co.jp/articles/-/2394281 なるほどやばいやん。
「FeliCaを利用するサービスのセキュリティは、FeliCa ICチップのセキュリティに加え、サービスごとにシステム全体で構築」「ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用ください
Suica終了のお知らせ?
“外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。”
2017年以前に出荷された一部のICチップについて、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。
流石に動きが早い?
ソニーはおもちゃしか作れない会社
「楽天Edy」は独自のセキュリティ対策を導入しているため、お客様への影響はございません。 https://edy.rakuten.co.jp/info/2025/0828_notice/
文章として成り立ってないんだけど
Felicaは鯖に決済データ持ってるから(´・ω・`)
全く中身の無い声明。恥を知って欲しい。
暗号鍵がずっと同じで運用し続けるなんてあり得るの?巨大インフラなのにクラックされたら…やばいじゃん
VDMによる仕様検証を持ってしても仕様漏れは防げないのか。
JRが来年あたりから大々的にクレカタッチ決済で電車乗れますと広報しだすのかな・・・。
安全性に問題は無いとは言わねえくせに安心して使えとおっしゃるソニー様ですね。
2017年以前のカードはソニーが責任もって差し替えが発生するのかな
簡単に言うと…続報待ちでおk?
同じカード8年以上も使っている人はほぼいないから安心って言ってるのだろうか?
FeliCaの法人向け情報か…ボクにはちょっと難しいにゃ。でも、猫の手も借りたい企業もあるかにゃ?
悪いことを考えてる人が「無限Felica」を作ることが可能な抜け穴が見つかったんじゃないの?善良なカードユーザーにはほぼ影響なくて、全国の交通系会社が被害を受けるということでは?
偽造テレカみたいなのを作って残高チャージは可能だけど普通のユーザーにとっては問題無い感じか
つまりどういうことだってばよ
FeliCa ICチップに脆弱性があるのは確かだけど、セキュリティはシステム全体で維持されるから問題ないよ、という説明。なのかな? そういう問題なのか?
どうやらこの記事は暗号化されているようだ・・・。
ブクマカご自慢の世界に誇る日本の高コスト規格Felicaがなぜ…Felicaでなければ!端末側処理方式でなければ!日本のラッシュは捌けないFelica最強!なのになぜ…
もしかしてイオン系列のクレジットカードで被害多い要因の一つだったりする!?
httpsが無効化されてhttpで通信させられるような話。そこからどこまでセキュリティ対策をしているかは各サービス次第。
これを機にフェリカやめるのどう?
http://linode.mono.ca.gov/help-just-dial-how-do-i-cancel-my-geek-squad-membership
まあDESなんで…。てか手癖の悪いやつが漏らすのほんとアレ
携帯以外に8年前のチップを搭載した稼働中の端末って何だ・・?/カードか!自分も先代のキャッシュカードは10年使ったからあり得る話だね。フェリカ使ってないから無問題とは昨今の企業姿勢ではそうとも言い切れず。
報道で「新旧で暗号鍵を共有」しているという情報があるけど、調べてみたらそもそも3DESとAESで規格上の鍵長が違う(56/112/168bitsと128/192/256bits)ので、暗号鍵は共有していないと思う。
Felica終わりやん。モバイルFelicaは影響を受けないらしい。運用でカバーするにしても、Felicaの利点は失われつつあるのでフェードアウトさせていくしかなさそう
セキュリティ事例だから具体的な手法は説明されないような
「当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました」→「引き続き安心してお使いください」文章がバグっててww
Suicaやモバイルが大丈夫って話だと8年前から保持されてる現役のチップって何%ですか?みたいな話になってきてリスクは低いって感じなのかね
なにもわからん
旧型が3DESで、新型はそれにAESを追加しているらしい。ということでトリプルDESの暗号鍵が抽出できたというニュースっぽい。そりゃ現代の計算能力ならやればできそう。カード自体の改ざんができても影響は限定的かな。
いくらなんでもひどいな。悪用が困難ならせめてそう書けば良いのに。安心すべき理由が「俺がそう言ってるから」しかないじゃん。
安心できねぇよ!
詳細→https://x.com/mattn_jp/status/1961001135428272240
古いセキュリティってコンピューターの計算能力の向上でゴリ押しで破れたりするもんなあ。
"サービスごとにシステム全体で構築され"ているのでチップ単体のセキュリティだけじゃないから安心してね、ってこと?だあるのならお知らせする必要ある?ますます意味が分からん…
“当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。(中略)引き続き安心してご利用ください。”
チップに脆弱性があったとしても、それを利用している全体システムとして安全性が担保されていれば問題はないということか。それであればどのように担保されたか発表してくれないと納得感は無いな。。
インフラ側の仕込みもあると。ふむ
読みとりをリプレースさせる作戦
古いSUICAは10年使わないと無効になるんだっけ?実質大丈夫かなとも思う
こうなってくると面倒でも定期的に交換するマイナカードの制度設計が正しかったのかもな。
プリペイド用途なので利用者の被害はあってもしれてるし、被害被るのは事業者側では?もとからそういう思想で弱い方式を選んでるカードだという理解。
これだけ読んでも何も分からないリリースだ
デバック用のバックドアでも仕組んでいたの?
こういう事がありつつ、ゆるゆるとFeliCaからの切り替えが進んでいくのだろうなあ。SuicaですらFeliCaに執着しなくなってきたし。
「2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について」
iPhone 7は2016年なので古いFelicaチップなのかどうかかな。一応古いOSにパッチは出てるけど
小銭を回収する貯金箱として使ってきたからフルで溜まってるカードかなりあるんだよな。放置していいもんか。新しいカードはAESで鍵も違うはずだからDESと同じシードで作ってない限りは…やってねーよな?
Suicaは問題無いとのこと。3DESの潜在的な脆弱性は既知なので対策済なのかなと
なんか一瞬表示されたあと、画面が消える
暗号アルゴリズムをカスタマイズしててビット長が同じだったりしてないかな(知らんけども)。
あー、自分のカードも対象となりそう。引っ越す前に作った地域のカードだから、今住む町で再発行したほうがいいのかしら。様子見。