DESのFeliCaが未だにあるのも驚きだけど、ソニーや官僚組織の保身のための発見者バッシングが酷すぎる。これじゃバグを善意で報告する人いなくなるぞ
んで結局自分が使ってるのがDES仕様に対応しているのか、DES仕様しか対応してないのかはどうやって知れるんすか
リスクとして考慮できるほどDES仕様でのFelicaカードって現存する?SonyばっかりだけどPanasonic/Nuvotonについての言及もないが…
SONYが全てを握っていることがFeliCaの脆弱性であろう。電子決済の花形になることを期待されたFeliCaがこの体たらくである。
これはこの発見者の言い分が正しい。最近安全確保支援士のオンライン講習受けたけどやってること違うもん。所詮理想論だけの制度だったと思われてもしょうがないよね。
古いニュースの奴だな。
FeliCa RC-S915のDES(56bit)鍵特定脆弱性を巡り、2025/6/13発見・8/28公表の経緯と批判を述べる声明。
"正当な理由がない限り脆弱性関連情報を第三者に開示するな" (それはさ、パニックや愉快犯や便乗犯罪の被害者は情報強者でなく「脆弱性?なにそれ?」のワシら情報弱者ゆえ)/https://x.gd/ikDbq 個人でできる対策の由
アンノウン・テクノロジ代表切敷裕大氏、個人サイトで弁明。どうもセキュリティを狭義で捉えすぎな印象。たぶん目的が違う。 参考 FeliCaの“脆弱性”報道はなにが問題なのか - https://www.watch.impress.co.jp/docs/topic/2045264.html
古いFelicaは使用禁止(システムでのサポートも含め※今やこっちが重要)するしかないと
【要約】56bit DES採用FeliCaの鍵特定リスクに対し、唯一の対策であるAES移行を促す声明。早期公表の発見者を規約違反と非難する国・IPAへの反論と、リスクを過小評価するソニーに対して移行支援の実施を強く求めている。
色々すっ飛ばしてマスコミに大発表した人か…。
昔Sonyと仕事した時も、セキュリティに関して綱渡り的な仕様でびっくりしたのだけど、まあ、当時の計算能力と処理能力の兼ね合いで悩んだ記憶があるな。Felicaもいろいろあったからなー。
総当たりで突破できるのは時間の問題、と感じたけど、脆弱性公表に関して怒られたことにキレたのか。まあ、ミュトス時代に考えないといけないことだよなー 脆弱性公表してオレツエーやりたかったならまあそうか…
チャッピーの要約によると、「FeliCa脆弱性の早期公表理由と、ソニー・IPAらの声明対応を批判。DES利用中止と影響範囲・移行指針の明示を求めてる。」
素DESはやべえだろ…JREがここ何年もFeliCa絡みでソニーと揉めコストアップやクラウド化など批判が集まってるのはこれが真因なのか? / 経緯に共同通信がどこから知ったのか書かれてないのは誠実なのか
“経済産業省・IPA・JPCERT/CC・国家サイバー統括室”全員素人?連名のどこも猛反対しなかった?さすが脆弱性研究すると逮捕する国だぜ!
物理カードの限界。
IPA届出と同時に報道機関へリークしたのは自分だって書いてあるよ//だとしたら正当な理由もクソもなくない?IPAやSONYの怠慢とリークの間に因果がないじゃん。わざと論点ごちゃ混ぜにして誤魔化そうとしてないか…?
DESが利用されたシステムを放置するならCRYPTRECが何のためにあるのか分からないな
いつだれが共同通信社にリークしたかが経緯から抜けているので非常に分かりにくかった。批判されるのはある程度仕方なさそうと思っちゃった
8月22日には少なくとも7月24日を起算日にするという通知をIPAから受け取った上でなんで8月28日に共同通信にリークするのか意味わからん。IPAから連絡なくてしびれ切らしてなら分からんでもないが。
お仕事もらえてるといいですね
“発見及び公表したことに”
「発見者に対する情報非開示依頼」は関連機関・非報告者の対応猶予期間であると同時に報告者らによる攻撃の誘発(悪質なものは威力業務妨害罪)を抑止するためにあるもの。悪質性は報告者が恣に決めることではない。
リーク時期は「届出時に当該脆弱性の存在を報道機関に情報提供したことは通知済み」とある。
なんでサムネイルがくまモンのパチモンみたいな絵なの?
ユーザーの判断を促す必要があったので影響範囲も分からないけどリークしましたって随分独善的だな
FeliCa の脆弱性公表について
DESのFeliCaが未だにあるのも驚きだけど、ソニーや官僚組織の保身のための発見者バッシングが酷すぎる。これじゃバグを善意で報告する人いなくなるぞ
んで結局自分が使ってるのがDES仕様に対応しているのか、DES仕様しか対応してないのかはどうやって知れるんすか
リスクとして考慮できるほどDES仕様でのFelicaカードって現存する?SonyばっかりだけどPanasonic/Nuvotonについての言及もないが…
SONYが全てを握っていることがFeliCaの脆弱性であろう。電子決済の花形になることを期待されたFeliCaがこの体たらくである。
これはこの発見者の言い分が正しい。最近安全確保支援士のオンライン講習受けたけどやってること違うもん。所詮理想論だけの制度だったと思われてもしょうがないよね。
古いニュースの奴だな。
FeliCa RC-S915のDES(56bit)鍵特定脆弱性を巡り、2025/6/13発見・8/28公表の経緯と批判を述べる声明。
"正当な理由がない限り脆弱性関連情報を第三者に開示するな" (それはさ、パニックや愉快犯や便乗犯罪の被害者は情報強者でなく「脆弱性?なにそれ?」のワシら情報弱者ゆえ)/https://x.gd/ikDbq 個人でできる対策の由
アンノウン・テクノロジ代表切敷裕大氏、個人サイトで弁明。どうもセキュリティを狭義で捉えすぎな印象。たぶん目的が違う。 参考 FeliCaの“脆弱性”報道はなにが問題なのか - https://www.watch.impress.co.jp/docs/topic/2045264.html
古いFelicaは使用禁止(システムでのサポートも含め※今やこっちが重要)するしかないと
【要約】56bit DES採用FeliCaの鍵特定リスクに対し、唯一の対策であるAES移行を促す声明。早期公表の発見者を規約違反と非難する国・IPAへの反論と、リスクを過小評価するソニーに対して移行支援の実施を強く求めている。
色々すっ飛ばしてマスコミに大発表した人か…。
昔Sonyと仕事した時も、セキュリティに関して綱渡り的な仕様でびっくりしたのだけど、まあ、当時の計算能力と処理能力の兼ね合いで悩んだ記憶があるな。Felicaもいろいろあったからなー。
総当たりで突破できるのは時間の問題、と感じたけど、脆弱性公表に関して怒られたことにキレたのか。まあ、ミュトス時代に考えないといけないことだよなー 脆弱性公表してオレツエーやりたかったならまあそうか…
チャッピーの要約によると、「FeliCa脆弱性の早期公表理由と、ソニー・IPAらの声明対応を批判。DES利用中止と影響範囲・移行指針の明示を求めてる。」
素DESはやべえだろ…JREがここ何年もFeliCa絡みでソニーと揉めコストアップやクラウド化など批判が集まってるのはこれが真因なのか? / 経緯に共同通信がどこから知ったのか書かれてないのは誠実なのか
“経済産業省・IPA・JPCERT/CC・国家サイバー統括室”全員素人?連名のどこも猛反対しなかった?さすが脆弱性研究すると逮捕する国だぜ!
物理カードの限界。
IPA届出と同時に報道機関へリークしたのは自分だって書いてあるよ//だとしたら正当な理由もクソもなくない?IPAやSONYの怠慢とリークの間に因果がないじゃん。わざと論点ごちゃ混ぜにして誤魔化そうとしてないか…?
DESが利用されたシステムを放置するならCRYPTRECが何のためにあるのか分からないな
いつだれが共同通信社にリークしたかが経緯から抜けているので非常に分かりにくかった。批判されるのはある程度仕方なさそうと思っちゃった
8月22日には少なくとも7月24日を起算日にするという通知をIPAから受け取った上でなんで8月28日に共同通信にリークするのか意味わからん。IPAから連絡なくてしびれ切らしてなら分からんでもないが。
お仕事もらえてるといいですね
“発見及び公表したことに”
「発見者に対する情報非開示依頼」は関連機関・非報告者の対応猶予期間であると同時に報告者らによる攻撃の誘発(悪質なものは威力業務妨害罪)を抑止するためにあるもの。悪質性は報告者が恣に決めることではない。
リーク時期は「届出時に当該脆弱性の存在を報道機関に情報提供したことは通知済み」とある。
なんでサムネイルがくまモンのパチモンみたいな絵なの?
ユーザーの判断を促す必要があったので影響範囲も分からないけどリークしましたって随分独善的だな