テクノロジー

FeliCa の脆弱性公表について

1: nguyen-oi 2026/07/01 15:36

DESのFeliCaが未だにあるのも驚きだけど、ソニーや官僚組織の保身のための発見者バッシングが酷すぎる。これじゃバグを善意で報告する人いなくなるぞ

2: Fushihara 2026/07/01 15:38

んで結局自分が使ってるのがDES仕様に対応しているのか、DES仕様しか対応してないのかはどうやって知れるんすか

3: deb 2026/07/01 15:49

リスクとして考慮できるほどDES仕様でのFelicaカードって現存する?SonyばっかりだけどPanasonic/Nuvotonについての言及もないが…

4: xlc 2026/07/01 16:43

SONYが全てを握っていることがFeliCaの脆弱性であろう。電子決済の花形になることを期待されたFeliCaがこの体たらくである。

5: favoriteonline 2026/07/01 16:59

これはこの発見者の言い分が正しい。最近安全確保支援士のオンライン講習受けたけどやってること違うもん。所詮理想論だけの制度だったと思われてもしょうがないよね。

6: deep_one 2026/07/01 17:09

古いニュースの奴だな。

7: mkusaka 2026/07/01 17:23

FeliCa RC-S915のDES(56bit)鍵特定脆弱性を巡り、2025/6/13発見・8/28公表の経緯と批判を述べる声明。

8: gimonfu_usr 2026/07/01 17:25

"正当な理由がない限り脆弱性関連情報を第三者に開示するな" (それはさ、パニックや愉快犯や便乗犯罪の被害者は情報強者でなく「脆弱性?なにそれ?」のワシら情報弱者ゆえ)/https://x.gd/ikDbq 個人でできる対策の由

9: TakamoriTarou 2026/07/01 17:30

アンノウン・テクノロジ代表切敷裕大氏、個人サイトで弁明。どうもセキュリティを狭義で捉えすぎな印象。たぶん目的が違う。 参考 FeliCaの“脆弱性”報道はなにが問題なのか - https://www.watch.impress.co.jp/docs/topic/2045264.html

10: minoton 2026/07/01 17:54

古いFelicaは使用禁止(システムでのサポートも含め※今やこっちが重要)するしかないと

11: kitchenkabu 2026/07/01 17:59

【要約】56bit DES採用FeliCaの鍵特定リスクに対し、唯一の対策であるAES移行を促す声明。早期公表の発見者を規約違反と非難する国・IPAへの反論と、リスクを過小評価するソニーに対して移行支援の実施を強く求めている。

12: birds9328 2026/07/01 19:06

色々すっ飛ばしてマスコミに大発表した人か…。

13: junjun777 2026/07/01 19:21

昔Sonyと仕事した時も、セキュリティに関して綱渡り的な仕様でびっくりしたのだけど、まあ、当時の計算能力と処理能力の兼ね合いで悩んだ記憶があるな。Felicaもいろいろあったからなー。

14: irimodi 2026/07/01 19:33

総当たりで突破できるのは時間の問題、と感じたけど、脆弱性公表に関して怒られたことにキレたのか。まあ、ミュトス時代に考えないといけないことだよなー 脆弱性公表してオレツエーやりたかったならまあそうか…

15: tzk2106 2026/07/01 19:37

チャッピーの要約によると、「FeliCa脆弱性の早期公表理由と、ソニー・IPAらの声明対応を批判。DES利用中止と影響範囲・移行指針の明示を求めてる。」

16: kyahi227 2026/07/01 20:00

素DESはやべえだろ…JREがここ何年もFeliCa絡みでソニーと揉めコストアップやクラウド化など批判が集まってるのはこれが真因なのか? / 経緯に共同通信がどこから知ったのか書かれてないのは誠実なのか

17: dollarss 2026/07/01 20:24

“経済産業省・IPA・JPCERT/CC・国家サイバー統括室”全員素人?連名のどこも猛反対しなかった?さすが脆弱性研究すると逮捕する国だぜ!

18: keidge 2026/07/01 20:47

物理カードの限界。

19: Falky 2026/07/01 20:53

IPA届出と同時に報道機関へリークしたのは自分だって書いてあるよ//だとしたら正当な理由もクソもなくない?IPAやSONYの怠慢とリークの間に因果がないじゃん。わざと論点ごちゃ混ぜにして誤魔化そうとしてないか…?

20: poco_tin 2026/07/01 21:24

DESが利用されたシステムを放置するならCRYPTRECが何のためにあるのか分からないな

21: kadzuya 2026/07/01 21:36

いつだれが共同通信社にリークしたかが経緯から抜けているので非常に分かりにくかった。批判されるのはある程度仕方なさそうと思っちゃった

22: Taqm 2026/07/01 23:24

8月22日には少なくとも7月24日を起算日にするという通知をIPAから受け取った上でなんで8月28日に共同通信にリークするのか意味わからん。IPAから連絡なくてしびれ切らしてなら分からんでもないが。

23: netnotora 2026/07/02 00:49

お仕事もらえてるといいですね

24: chaoschk 2026/07/02 01:14

“発見及び公表したことに”

25: atsushieno 2026/07/02 02:41

「発見者に対する情報非開示依頼」は関連機関・非報告者の対応猶予期間であると同時に報告者らによる攻撃の誘発(悪質なものは威力業務妨害罪)を抑止するためにあるもの。悪質性は報告者が恣に決めることではない。

26: yorkfield 2026/07/02 05:43

リーク時期は「届出時に当該脆弱性の存在を報道機関に情報提供したことは通知済み」とある。

27: richmikan 2026/07/02 07:30

なんでサムネイルがくまモンのパチモンみたいな絵なの?

28: daira4000 2026/07/02 09:33

ユーザーの判断を促す必要があったので影響範囲も分からないけどリークしましたって随分独善的だな