Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議 目的を聞いた
Suicaの暗号領域の情報が読み取れるというビューアがGitHubで公開された。開発者は8月に話題になったSuicaの脆弱性を指摘したセキュリティ企業のCEOだ。
アンノウン・テクノロジーズ(東京都千代田区)のCEOを務める切敷裕大さんが10月30日、個人のXアカウントで「世界初!暗号領域の情報が読み取れるSuicaビューアを公開」と投稿し、一部で注目を集めている。アンノウン・テクノロジーズは、8月に話題になったSuicaの脆弱性を指摘したセキュリティ企業だ。
GitHubの当該ページによると、Suica ViewerはFeliCaベースの交通系ICカードから、リモートサーバーによる相互認証により暗号化された領域を読み取るツールだという。詳細なカード情報や残高、旅程履歴データなどが読み取れるが、書き込みには対応しない。同氏はXで「絶対残高(を)書き換える奴が出るので禁止してある」と投稿している。なお10月31日にはメンテナンスのため認証サーバーを一時休止すると投稿しており、独自のサーバーを立てていることもうかがえる。
X上では「凄いですね」といった好意的な反応がある一方、「つまり技術的には残高の書き換えができてしまうと?」「B-CASカードの件を思い出した」など危惧する声も上がっている。デジタル放送の限定受信方式に使われるB-CASカードは、2012年に内容を書き替える方法がネット上に出回ったことで有料放送の不正視聴問題に発展した。
切敷さんに話を聞くと、Suicaビューアを開発した目的は「あくまでも研究」だという。「内部フォーマットの仕様を知るにあたりオープンソースで進めた方が早いと考えた」。発見した脆弱性との関係については「基本的に関係はない。法的な問題などもないと認識している」と話している。
アンノウン・テクノロジーズは、FeliCaの脆弱性を発見して7月に関係機関に報告したが、8月に共同通信の取材に応じて未公開の脆弱性情報を公にしたことがネット上で物議を醸した。9月には経済産業省が、報道における脆弱性情報の取り扱いについて、改めてガイドラインに即した対応を求める声明を出している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か
経済産業省は9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。
「Suica」などに採用の「FeliCa」に脆弱性見つかる それでもソニーが「引き続き安心」とアピールする理由
交通系ICカードなどに使われる非接触型IC技術「FeliCa(フェリカ)」のICチップに脆弱性があると指摘された件でソニーやNTTドコモ、JR東日本が相次いで声明を出した。
Felica脆弱性問題、「楽天Edy」「nanaco」「WAON」「QUICPay」も「安心して使って」と声明
ソニーの非接触ICカード技術「FeliCa」のICチップの一部に脆弱性が見つかったことを受けて8月28日、FeliCaを利用した電子マネーサービス運営各社がそれぞれ、「サービスは安全に利用し続けられる」とのコメントを発表した。
手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」
「ドロップキャッチ」という言葉をご存じだろうか。そうしたリスクについて啓蒙しているセキュリティベンダーでも完全には防げなかったようだ。どうすれば良いのか。
「ドラクエ1」リメイクを一気にクリアしたマンガ家が、前作“3”にガッカリして手を出していないファンに伝えたいこと
「ドラゴンクエストI&II」HD-2D版が10月30日に発売されました。前回のドラクエ3リメイクはファンから不満の声も多く上がっていた作品でしたが、今回はどうだったのでしょうか。