経産省「暫定的な対策として、不正検知の仕組みが必要」
同様のことは、セキュリティの専門家からもX上で指摘されており、カード残高の改ざんや情報流出によるオフィスなどへの侵入の恐れがあるという。日常的に使われているIT技術だけに、大きな話題として議論になっている。
フェリカの脆弱性について、過去には、06年にネット上などで指摘され、ソニーが「セキュリティに関する事故の報告は一件も受けておりません。またフェリカの暗号が解読されたことについても弊社では確認しておりません」と否定する騒ぎになったことがある。
旧型フェリカについて、システム全体でセキュリティが構築されていない場合などがあれば、問題は起きないのだろうか。
この点について、ソニーの広報部は8月29日、J-CASTニュースの取材に対し、「システム全体のセキュリティはサービスごとに異なるため、弊社から一概に回答することができません」と答えた。06年の指摘については、「当時の当社見解どおり暗号は破られておりません。本件との関連性はございません」と説明した。
一方、IPAを所管する経産省のサイバーセキュリティ課は同日、旧型ICチップについては、「将来的にはリプレイスする必要があると考えています」と取材に明らかにした。
「暫定的には、水際でデータ改ざんなどの悪用を食い止めるため、不正検知の仕組みを作らないといけません。第1世代のICチップが問題であり、その入れ替えが根本的な対策になります」
ソニーからは、旧型フェリカの脆弱性について事前に報告があり、発表があった28日にこうしたことを伝えたという。
「さらに、今回のことを消費者に丁寧に説明し、脆弱性による影響を確認することも必要になります。対策について、スケジュールなどをしっかり考えてほしいと伝えました。データ改ざんや情報流出といった話は聞いていません」
なお、暗号については、古いDES暗号から替わって、よりセキュリティ強度があり突破されにくい新しいAES暗号になっているが、17年以前のフェリカのICチップは、古いDES暗号を使っていたという。
(J-CASTニュース編集部 野口博之)