パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソニーの非接触ICカード技術、FeliCaの暗号が破られたかも?」記事へのコメント

  • by gesaku (7381) on 2006年12月19日 14時50分 (#1078175)
    とりあえず携帯はICカードロック、ICカードは不必要なときには金属製のカードケースに入れて
    鞄の奥にしまっておいたほうがよさそうですね。

    #モバスイ使いgesaku
    • Re:自衛策 (スコア:3, 参考になる)

      by vn (10720) on 2006年12月19日 14時56分 (#1078177) 日記
      なにか勘違いしているような?
      問題なのは、北朝鮮みたいなインチキ国家が残額ゼロに近い IC カードをかき集めて、
      インチキ・チャージ機で満タンにして日本に持ってくることですよ、たとえば。
      本物を持っている人から盗むような危険を冒さなくても、ニセモノがじゃんじゃん作れれば
      大儲けできることになってしまう。
      親コメント
      • by gesaku (7381) on 2006年12月20日 10時58分 (#1078694)
        消費者(ユーザー)の視点で述べただけであって、
        それを勘違いというのであれば、もしFeliCaの暗号が破られていたとしても
        消費者には一切不利益は無いということになりますね。

        そんなことを言うのであれば、わざわざ日本に持ってこなくても
        ネット経由で決済かけられますね。日本に偽物を持ち込んで
        店頭で使う危険すら冒さなくてもよいことになります。

        っていうか、特定の国家を名指しするのはいかがなものかと。

        #本家で「日本みたいなインチキ国家が~」なんて書かれてるのを見たら嫌でしょ
        親コメント
        • by vn (10720) on 2006年12月20日 11時22分 (#1078709) 日記
          気分を害したのであれば申し訳ない。
          ただニュースバリューの大部分を成しているのは、ご指摘のような脅威以外のことではないかと言いたかった。

          あと、脱線だけれど
          「日本みたいなインチキ国家が~」なんて書かれてるのを見たら嫌でしょ
          北朝鮮とは違って、日本はインチキ国家と呼ばれる筋合いはないぞ。
          # いや、「タウンミーティング工作」みたいなインチキも時々あるが...
          たぶんインチキを働いた政治家は次の選挙でそれなりの報いを受けるだろう、
          と期待できる分だけ、インチキ国家とは言わせない資格があると思うぞ、たぶん....
          親コメント
        • by Namany (19002) on 2006年12月20日 14時45分 (#1078904) 日記
          少なくとも日本は北朝鮮を公式に国家として承認していない [wikipedia.org]のでインチキ国家という表現はあながち間違っていないと思います。
          親コメント
      • by Anonymous Coward
        勘違いも何も、ユーザとして被害を受ける問題と
        決済サービス提供者として被害を受ける問題のどっちかに
        限って話す問題ではないんじゃないかな。

        • Re:自衛策 (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2006年12月19日 15時56分 (#1078219)
          勘違い、というか問題のリスク評価が小さすぎるというこでしょう。
          被害を受ける問題のどっちも把握した上で、書いてたように読み取れないから。
          そして、「ユーザとして被害を受ける問題」(逆に言うと「ユーザを狙った不正行為」)が、
          悪意のある組織(Felicaを狙う装置を用意できる条件を満たす個人は多くない)
          にとってメリットが小さいものになったと指摘してるわけでしょう。
          (脆弱性の詳細が明らかになっていないので、それが本当に可能かどうかの検証は保留)
          決済サービス提供者が被害を受ける問題を優先するのが現実的という事。
          ついでにいえば、決済サービス提供者がシステムを補修するまで、
          ユーザとして間接的に被害を受ける可能性は充分ある事も忘れてはいけません。
          インフラに対する認識が弱い、あるいは間違っていると思います。

          北朝鮮がインチキ国家と書いてある以外は、実に真っ当な意見でしょうし、
          インチキ国家ではなく国民を圧政で苦しめ恐喝を外交手段とするチンピラ国家という、
          あからさまな事実を言わないだけ優しい意見なのに(笑)
          なぜフレームの元なんでしょうね、モデ氏は思い入れでもあるのでしょうか。
          地上の楽園を貶すなとか。
          親コメント
          • by Anonymous Coward
            > 北朝鮮がインチキ国家と書いてある以外は、実に真っ当な意見でしょうし、
            > インチキ国家ではなく国民を圧政で苦しめ恐喝を外交手段とするチンピラ国家という、
            > あからさまな事実を言わないだけ優しい意見なのに(笑)
            > なぜフレームの元なんでしょうね、モデ氏は思い入れでもあるのでしょうか。
            > 地上の楽園を貶すなとか。

            ほら、「あからさまな事実を言わないだけ優しい意見」なんて書いたから、
            貴方のようなフレームが付いたでしょ?
          • Re:自衛策 (スコア:0, 荒らし)

            by Anonymous Coward
            もうどこから手を付けたらよいか、読みにくい…。

            なんで利用者が置かれているかもしれない危機は軽視、
            決済会社の危機がとても重要のように考えるコメントが
            これだけ出てくるのか不思議です。GK?

            どちらも影響があって問題なのは否定しません。
            決済会社も危機になるでしょう。
            でも、だからといって個人の危機は考えなくていいという
            そのような論理には理解を示すことは出来ません。

            一人の利用者に対する危機が小さくても、それが何百万人
            にも及べばけっして小さくはないでしょう。

            また、Felicaの装置を入手するのは比較的簡単です。
            売ってますし、店舗加盟すればいいわけですから。
            悪の組織なら、余裕で加盟しちゃいますよね。
            これは利用者・決済会社、どちらにも同じように危機です。

            • Re:自衛策 (スコア:0, すばらしい洞察)

              by Anonymous Coward
              GKというか、vnがACで書いてるだけでしょ
            • by Anonymous Coward
              >Felicaの装置を入手
              加盟しなくてもPasoli買えばいいだけでは?

              3000円ぐらいで売ってるし、ソニーカード作れば1000円だし。
      • by Anonymous Coward
        >問題なのは、北朝鮮みたいなインチキ国家が残額ゼロに近い IC カードをかき集めて、
        >インチキ・チャージ機で満タンにして日本に持ってくることですよ、たとえば。
        >本物を持っている人から盗むような危険を冒さなくても、ニセモノがじゃんじゃん作れれば
        >大儲けできることになってしまう。

        ラピュタは本当にあったのだが、実は毒物飲料だったと言う話はおいといて
        リアルのカリオストロ公国である偉大なる共和国をなめてもらってはこまります。
        そのような効率の悪いことはしません。ドル札をすればいいだけです(ぉ
        #元も偽札
        • by vn (10720) on 2006年12月19日 18時48分 (#1078350) 日記
          決済の瞬間にデータベースに問い合わせることは、たぶん不可能でしょうね。
          まず限度額引き下げをやり、それで不十分なら正規カードも使用停止にでも
          するしかないでしょう。金属ケースに入れても、一時的な不便は防げません。
          親コメント
      • by Anonymous Coward
        それを使ってチャージして、北朝鮮に送る物資を確保するくらいならできそうなところが怖いですね。
        あちらは国家ぐるみで偽札造ってますし。
      • by Anonymous Coward
        suica正式サービス時にIEICEに中の人の記事がのっていましたが、
        suicaはカード情報のデータベースを中央にもっています。
        各駅におかれたサーバは一日一回バッチ処理で残高照合などを行っています。
        「10年間使用がない場合無効」
        「紛失した場合は再発行可能(ただし当日の終了時点の残高で)」
        「有効期限のあるView-Suicaの再発行が可能」
        というのはそのせいです。
        ですから不正に残高が書き換えられたカードは最大で24時間しか使えないということになります。

        最高残高は2万円ですので実損はそんなにおおきくならないでしょうが、システムとしての安全性について外部からの審査をもらっていたはず(数年前のVIEWカード会員への会報に偉そうにかいてあった)ですし、社会的な信用を失うという損害は大きいでしょうね。
    • Re:自衛策 (スコア:2, 興味深い)

      by astro (17245) on 2006年12月19日 15時12分 (#1078186) 日記
      それはどういう危険に対する対策ですか?スキミング?
      Felicaはチャージされている額以上の決済は不可能では?
      クレジットカードみたいに使われ放題なんてことはないと思うけど。

      Felica暗号解いただけでは、無限チャージとかはできるのかな。
      それにチャージも一枚2万円が上限だしね。
      いくら不正にチャージしても、小口で2万円づつ換金って
      結構大変だろうし、そこから足がつくんじゃね?
      親コメント
      • by vn (10720) on 2006年12月19日 15時41分 (#1078211) 日記
        とりあえず、正規にチャージできる上限を5千円なり2千円なりに引き下げるという対策が早そうですね。
        (テレカ偽造のときもそうやって乗り切った筈。) いつまでも2万円〜5万円チャージされたカードを
        使っていると目立つでしょうから。
        親コメント
        • by Anonymous Coward
          チャージ限度額を2~5千円というのは非現実的ではないでしょうか?

          チャージ式のEdyの場合、レストランなどでも使えることが多いです。
          レストランでちょっと贅沢なお食事をしただけでも5千円は超えますよね。

          コンビニなどで小額決済をするとしても、2~5千円では数回の買い物で
          すぐ無くなってしまいます。
          その度にチャージしていたのでは、いつもチャージするために現金を
          持ち歩かないといけません。
          何回もチャージするくらいならEdy使わずに現金で払っちゃいます。

          テレホンカードの場合は、一度に高額通話になることは滅多になく、
          あった場合でも何枚も追加投入して使えたので問題ありませんでした。

          Felicaの偽造も、1枚5万円分か、10枚5万円分かの効果しかありません。
          悪用する人間が、1枚しか持ちたくないと思うか、10枚持っても構わないか
          その程度の抑止力しかないでしょう。

          なお、チャージと支払いを交互に繰り返せば1枚で限度額以上の支払いは
          可能です。

      • クレジットカードみたいに使われ放題なんてことはないと思うけど。

        個人個人によって月々使える枠は違いますが、クレジットカードも上限あります。 毎月クレジットカード会社が承認してくれた額を使わない様ならば、10万円とか20万円に上限を引き下げる事も可能です。

        --
        いつも主観で書き込んでいます
        親コメント
        • オフトピですが
          たぶん理解されていて書かれているとは思いますが、クレジットカードの与信限度額は
          「月々」単位ではありません、原則金融機関からの引き落とし後~引き落としまでの期間です
          要は支払っていない金額のトータルが与信限度額内ということです
          またこの与信限度額はカード会社にもよりますが意外に曖昧なもので
          オンラインの承認が必要でない決済(カード会社にもよるが1~5万の一括払い等)や
          適度に使っており、支払い遅れもなければ電話承認が必要になるものの
          数万~10万程度なら限度額をオーバーして高額商品を購入することも可能です
          カード会社によってはそのための専用電話番号もあります
          • by Anonymous Coward on 2006年12月20日 0時17分 (#1078526)
            > 数万~10万程度なら限度額をオーバーして高額商品を購入することも可能です

            理由と裏は取られますけど、事前申告しておけば、もっと高額(百万単位)でも
            オーバーできますよ。
            自分は婚約指輪と結婚式・披露宴の費用を全部カードで払いましたから。
            婚約指輪のときは裏までは取られませんでしたが、結婚式・披露宴の費用を払うときは、
            何月何日の何時からどこでやるのか、担当者は誰なのか、支払い予定日はいつなの
            かなどなど聞かれて、その後で確認の電話が会場に行きましたけど。

            #その時ためたマイレージで後で海外旅行に行きました。
            親コメント
      • by Anonymous Coward
        無限チャージできれば、そりゃ致命的脆弱性といって構わないでしょう。

        パーソナル国立印刷局が出来たようなもんですから。(5万円ずつしか刷れませんが)
        #手持ちのEdyは5万円までいけるようです。
      • Re:自衛策 (スコア:0, オフトピック)

        Suicaって乗降駅情報をSuica内にしか記録していなかったハズ(うろ覚え)だから、満員電車の中で他人の乗降駅情報を適当に書き換えればちょっとした交通テロに…
        • by Anonymous Coward
          すまん、それでどうやったらテロと言えるレベルの混乱起こせるのか想像できない。

          • by Fortune (6210) on 2006年12月19日 19時34分 (#1078374) 日記
            片っ端から書き換えれば、みんな改札で引っかかって各駅大混乱。
            …ってことでは?

            物理的損害はあまりないにしても、経済的な損害は結構ありそう。
            親コメント
            • by Anonymous Coward
              だからどうやって片端から書き換えるんだってば。

              非接触式だからと言ってもFelicaに十分近接しないと書き換えできないわけで、
              満員電車の中、どうやって有意な混乱を引き起こせるだけの人数と接触できる
              と考えられるのか理解できない。

              満員電車ではそれなりの人数と身動き取れない団子状態になってるだけ。
              連続して多数と接触できるわけではない。
              それとも大勢で同時に?集団痴漢っていわんかそれは。
              それでも一両分書き換えるのに何人必要だろう。

              頼むから強電界でなんていうのはやめとくれ。
              携帯やらPCやらペースメーカがつられてぽしゃりかねん。
              それでこそテロになるのかもしれんが。

            • by Anonymous Coward
              >みんな改札で引っかかって各駅大混乱。
              これくらいなら、今のセンサ部分に見た目も同じになるようなアルミ箔シールでも貼るだけでオッケーじゃないだろうか。
          • こないだSuicaシステムに障害が起きた時は、そこそこに大変でしたね。
            あれは時間帯が良かったから助かったものの、
            人が大量に死ぬことはありませんがラッシュ時に被ったりするとそれはそれは大混乱でしょう。
            --
            =-=-= The Inelegance(無粋な人) =-=-=
            親コメント
        • by Anonymous Coward
          あなたははげていたハズ(うろ覚え)だから、ちょっと光っていてまぶしい

          Suicaは通信していたハズ(うろ覚え)なので、交通テロにはならない気がしておきます。
      • by Anonymous Coward
        >クレジットカードみたいに使われ放題なんてことはないと思うけど。

        ドコモのiDはクレジット決済ですよ。
      • Re:自衛策 (スコア:0, すばらしい洞察)

        by Anonymous Coward
        >それはどういう危険に対する対策ですか?スキミング?
        >Felicaはチャージされている額以上の決済は不可能では?
        >クレジットカードみたいに使われ放題なんてことはないと思うけど。

        使われ放題に盗まれなければま問題ないんですか?
        たとえばお財布の中にある現金は盗まれても入ってる額までですが、
        それくらいなら強盗されてもスラれても問題ないんですね。
        気前のいいお人だ。

        改造して読み書き距離を拡大したリーダ・ライターを持って、
        渋谷や新宿で1日中立って待ち、1回100円ずつゲットしてれば
        結構な金額になりますよね。
        ぶつかったり、バッグやポケットをカッターで切る危険もないし、
        100円くらいじゃ気づかない人も多いでしょうしね。

        • by astro (17245) on 2006年12月19日 16時11分 (#1078226) 日記
          >使われ放題に盗まれなければま問題ないんですか?

          問題はないとは思いませんが、被害額が限定的ではないかと思いませんか。
          あくまで被害の程度の話ですよ。すり替えないでください。

          >改造して読み書き距離を拡大したリーダ・ライターを持って、
          >渋谷や新宿で1日中立って待ち、1回100円ずつゲットしてれば
          >結構な金額になりますよね。

          で、そのリーダで読み取ってかすめとった100円をどうやって
          自分の懐に入れればいいんですか?
          いくら読み取ったところで、それを通貨として使う手段がなければ
          何の意味もないと思いますが。
          それとも、リーダさえあれば、誰でもFelicaマネーを自分の口座や
          自分のFelicaに入金できるようになってるんですかね。
          親コメント
          • by Anonymous Coward
            なんだか話が通じないようなので、繰り返しの議論はしません。

            >問題はないとは思いませんが、被害額が限定的ではないかと思いませんか。

            一件当たりの被害額は限定的でも、それが不特定多数に及ぶのなら
            被害額は限定的ではありません。
            ここは理解できますよね?

            一人の利用者の問題ではなく、全利用者の問題なんです。

            >あくまで被害の程度の話ですよ。すり替えないでください。

            えーと、そもそもスキミングのような個人の利用者に対する
            被害防止として「自衛策」を書いた親コメントに対して
            「使われ放題ってことはない」と頓珍漢な論旨に「すり替え」
            したのはあなたのほうではないですか?

            読み返してみればわかりますよ。

            ちなみに、加盟店になるのは簡単ですし、クレジットカードのように
            買った商品が何なのかなんて決済会社は把握してませんので、
            商品が一個もない100円ショップで大儲けしててもわかりません。

            以上。

      • by Anonymous Coward
        カードにだけ金額情報を加算したところで、管理サーバとの整合性がとれないため 即刻ブラックリスト(使用不可カード)入りですね。
    • by marute (13883) on 2006年12月19日 15時13分 (#1078188) 日記
      そうですね。
      以前、手持ちのSuica&PaSoRi [sony.co.jp]で試してみましたが、1センチ程度なら離れていてもちゃんと読み書きできましたから。
      上着の内ポケットなんかに無造作に入れてるといつの間にか…ってことになりかねません。

      #edy5枚使いmarute
      親コメント
      • by Anonymous Coward
        読み出しはともかく、書き込みができるサービスってあるんですか?
    • Re:自衛策 (スコア:0, おもしろおかしい)

      by Anonymous Coward
      記事も理解せず、自分のことしか考えないというのはいかがなものかと・・・。
      まぁいい、ただチラシの裏に書いた方が良いと思うってだけで。

      --
      これもチラシの裏に書かないとダメか。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...