5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【技術】 おサイフケータイ等に使われる「FeliCa」暗号破られる?…ソニーは「事実無根だ」と完全否定★2

1 :☆ばぐた☆HN変えられ中@☆クリスマスばぐ太☆φ ★:2006/12/21(木) 12:14:12 ID:???0
・経済誌「月刊FACTA」の1月号「ソニー 暗号破られた『電子マネー』」記事。
 内容は、電子マネー「Edy」「Suica」や、おサイフケータイクレジット「iD」「QUICPay」といった
 サービスに採用されている非接触IC「FeliCa」の暗号が破られたというもの。研究者らは
 情報処理推進機構(IPA)に連絡し、IPAも暗号が破られたことを確認した、としている。

 記事ではFeliCaの暗号が危険な根拠として、(1)FeliCaは共通鍵方式を採用したため、
 公開鍵方式に比べて破られやすい、(2)現行FeliCaが採用しているEEPROMを利用した
 システムではセキュリティのレベルが低い、という2点を挙げている。また、暗号解析の
 デモを見たという人物が「本来は見えないはずのIC内の情報があっさりと見てとれただけ
 でなく、改変も可能だった」とコメント。

 ソニーは11月7日に富士通と共同で新しいカード向けFeliCaチップを発表しているが、
 記事ではその理由を、FRAMを採用した新バージョンのFeliCaを採用することで、
 セキュリティレベルを上げられ、安全性をアピールできるためだとしている。

 ソニーではこの記事について、「暗号が破られたというのは事実無根。ソニーとしては
 そのような事実は確認していないし、IPAからの連絡ももちろん来ていない」と反論している。
 「新バージョンのFeliCaでFRAMを採用した理由は、低消費電力と処理速度の向上が大きい。
 また、FeliCa内にはいくつもの暗号があるが、破られたという暗号がどれなのかも書かれて
 いない。このような記事を書かれることは、会社として非常に遺憾だ」(ソニー広報部)

 実際、記事中では具体的な内容は語られていない。また暗号が解かれたのはEdyのように
 書かれているが明らかにはしておらず、客観的に見て、説得力に欠ける内容になっている
 ことは否めない。

 月刊FACTA編集部では「電話で答えられるような内容ではない。(暗号という)微妙な
 話題であり、情報源の秘匿などの観点から(も話せない)。暗号解析を見たという証言は
 複数あった。記事の内容には自信を持っている」とコメントしている。(一部略)
 http://www.itmedia.co.jp/news/articles/0612/20/news103.html

※前:http://news19.2ch.net/test/read.cgi/newsplus/1166623782/

132 :名無しさん@七周年:2006/12/21(木) 17:15:04 ID:8jyPgUXsP
>>119
/.-Jにも書いたんだが、件の記事とIPAのコメントとソニーのコメント、さらにスネークの報告をじっくり読んでいたら
(FACTAのソニー叩きは置いといて)事実関係が矛盾しないひとつの可能性に行き着いた。

>ある暗号研究者はビットワレットの電子マネー、エディのカードを使って解析を試みた。
>研究者が衝撃を受けたのは、カードの表面をはがしていくと簡単にICが露出して
>しまったことだ。
(FACTA 2007年1月号 p20)

>エディだけでなく、スイカやアイディも同様の手法で解析できる。
(FACTA 2007年1月号 p21)

つまり、カードの表面をぺりぺりと剥がしたら(モールドされた)ICチップが露出したので耐タンパ性が弱いという主張。
記事に書かれている具体的な手法(に相当する記述)はこれだけ。モールドされたチップをさらに削って回路の判読が
できたかどうかすら明らかにされていない。

で、「これしか具体的な手法が書かれていない」ということは、ひょっとして
「自称研究者とやらが指摘した具体的な脆弱性はこれだけなのでは?」と推定。

そう仮定するといろいろと関係がはっきりしてくる。


133 :岸和田市民 ◆HOXERHLOXY :2006/12/21(木) 17:17:24 ID:IJa8f3uV0
耐タンパ性ってそんなに重要なんだろうか。

134 :名無しさん@七周年:2006/12/21(木) 17:18:25 ID:8jyPgUXsP
>>132続き
1.自称暗号研究者(電波入り)は、耐タンパ性について聞きかじった知識を持っていて、
 「ICを露出しようとすると物理的に破壊されるのが正しいセキュリティ」と思っていた
2.で、Edyの表面を剥がしてみたら、ICチップらしきものが出てきてびっくり
3.「これは脆弱性だ!」とIPAに持ち込む
4.IPAは始末に困る。明らかに電波な報告なのはわかるんだが、かといって「問題ありません」と言い切る
 権限も能力もIPAには無い。かといって放置すると問題になりそう。そこで経産省にたらいまわしにする

(IPAの公式コメント「ある人から懸念しているということで情報が持ち込まれたのは事実。
ただ、IPAはソフトウェアの脆弱性は受け付けているが、ハードウェアについては対応する権限、
および検証能力がない。そのため、(持ち込まれた懸念情報は)受け付けていない。
(伝えられている話は)半分事実で半分事実無根と言える」
「懸念しているということで」に注目)

5.経産省はいちおう話を引き取ったが、モールドされたICチップが出てきたくらいで耐タンパ性に
 欠けるって言われてもなぁ、ということで経産省の権限でクローズ
6.だからソニーはその報告そのものを知らない(または、「これモールドされてますから大丈夫ですよね?」
 くらいの問い合わせはあったかもしれないが「大丈夫です」と答えて忘れた)

あくまでも仮定の上のフローだけどすごくありそうな話に思える。

135 :名無しさん@七周年:2006/12/21(木) 17:18:49 ID:EysYqU/i0
>>132
セキュリティのセの字もしらないやつが妄想で書いたってことか

136 :名無しさん@七周年:2006/12/21(木) 17:19:35 ID:3fNNDiVw0
>>132
だが、
> 「本来は見えないはずのIC内の情報があっさりと見て取れただけではなく、その改変も可能だった」と、
> 暗号解析のデモンストレーションを見た人物は証言する。
(FACTA2007年1月号 p21)
と書いてあるので、矛盾は避けられない。

137 :名無しさん@七周年:2006/12/21(木) 17:19:36 ID:rg8PxeJa0
うちの姉ちゃんは耐ナンパ性が低かった・・・・

138 :名無しさん@七周年:2006/12/21(木) 17:25:14 ID:8jyPgUXsP
>>136
そこで隊長ですよ(w
…と冗談はともかくとして(半分冗談、半分レトリック)、

きちんと記事を分析すると、その記述だけ主語が違うんだよね。
「カードの表面をはがした」のは「ある暗号研究者」の行動として事実として書いてあるけど
「本来は見えないはずのIC内の情報があっさりと見て取れただけではなく、その改変も可能だった」のは
「暗号解析のデモンストレーションを見た人物」の「証言」であるところがポイントだと思う。


139 :名無しさん@七周年:2006/12/21(木) 17:28:38 ID:3fNNDiVw0
>>138
うん、主語がそこだけ違っているのは気になっていた。
というか、暗号が解読できたとしている部分(=重要)は、デモを見た人の伝聞になっている。
んで、「IPAに連絡したという」ということで、これも伝聞。
はがして中が見られるのは、やった人いるだろ。俺は電球で透かしてみたくらいなんだけど。

140 :名無しさん@七周年:2006/12/21(木) 17:36:12 ID:X6HoisFj0
Felicaを分解
ttp://www016.upp.so-net.ne.jp/El_Dorado/Others/Felica.html
ttp://www016.upp.so-net.ne.jp/El_Dorado/Others/img/felica.jpg

141 :名無しさん@七周年:2006/12/21(木) 17:36:13 ID:8jyPgUXsP
>>139
そう、あくまでも「本来は見えないはずの情報が見えたり改変できた」のは
「証言」にすぎないので、証言する人がいたら(隊長とかw)事実関係の矛盾は無い。

と、記事を見ると一番肝となる記述に関してはちゃんと責任逃れの伏線が張ってあるんだよね。
個人的には>>132 >>134の線が濃厚だと思うんだけどなー。
で、FACTAの中の人は半分事実関係を正確に理解しつつ、「なんかそれほど危なくないっぽいけど
煽っちゃえ」という感じで書いたんじゃないかなー。

ほかにも
>このままでは危なすぎると、夏頃、コンピューターウイルスに対する監視などを行う
>独立行政法人の情報処理推進機構(IPA)に連絡したという。IPAも暗号が破られたことを
>確認したとみられる。
(FACTA 2007年1月号 p21) (「確認した」ではなく「確認したとみられる」)

とか
>しかし、事実は暗号研究者の通報を受けたIPAを経由して経済産業省の知るところとなり
(FACTA 2007年1月号 p23)

とか、大げさに煽りながらも嘘はつかないよう配慮した雰囲気を感じる。

142 :名無しさん@七周年:2006/12/21(木) 17:42:18 ID:EysYqU/i0
結局セキュリティについての報道で一番やってはならない
「煽り記事」をスクープのためにやる三流誌ってことか。


143 :名無しさん@七周年:2006/12/21(木) 17:46:08 ID:3fNNDiVw0
>>141
だがしかし、

> しかし、事実は暗号研究者の通報を受けたIPAを経由して経済産業省の知るところとなり、第2世代フ
> ェリカには物理的攻撃を防ぐ対策が講じられたようだ。しかし、危険を隠したままでは利用者対策は不可能
> だ。フェリカの脆弱性情報を公表して、経済的・社会的ダメージを最小限にするリスク管理こそが1億7
> 千万個のチップを販売したソニーと電子マネー運営各社の責任ではないか。

と、乱れた日本語で、書いてある。
あ、この場合「事実」はなんでもいいのか。めくってペローンとしましたという「事実」なのかなぁ。
前段落では、

> 本誌の取材に対してソニーは「セキュリティの観点から暗号について具体的な説明はできない」と繰り
> 返し、「フェリカに脆弱性の問題はない」「暗号カギが破られたとの警告を受けた事実もない」という。ド
> コモ、JR東日本、ビットワレットの回答も右へならえだ。

とかいてあり、それに対して「しかし、事実は」だからなぁ、グレーだなぁ。

配慮は確かに感じるね。

160 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)