フェリカの脆弱性と暗号突破の仕組み
交通系ICカードや電子マネーなど社会インフラとして全国で使われている非接触式IC技術「FeliCa(フェリカ)」のセキュリティーに重大な脆弱(ぜいじゃく)性が見つかったことが28日、関係者への取材で分かった。暗号システムを突破してデータを改ざんされる恐れがある。累計出荷18億個以上のチップのうち、開発元のソニーは共同通信の取材に「2017年以前に出荷された一部に脆弱性があり、暗号を突破される可能性があることを確認した」と認めた。データの読み取りや改ざんが実行される懸念があるとして、影響範囲の特定や対策の検討を進めていると明らかにした。
脆弱性を発見したのはセキュリティー企業アンノウン・テクノロジーズ(東京)の切敷裕大氏らのグループ。暗号システムを突破し、フェリカのセキュリティーを管理する暗号鍵を取り出せることを確認した。暗号鍵はデータを読めなくしたり、元に戻したりするのに使う文字列だ。経済産業省のIT政策実施機関である情報処理推進機構(IPA)を通じて7月にソニーに報告した。
フェリカは交通系ICや電子マネーなどシステムごとに全てのカードや機器で同じ暗号鍵を共有する仕組みだ。切敷氏によると、脆弱性があるのは旧型のフェリカ。新型のフェリカでは修正されていたが、暗号鍵は新旧で共有しているため、新型カードの改ざんも可能だという。ソニーは具体的な対策を明らかにしていないが、抜本的な解決には脆弱性のある旧型カードを全て使えなくするしかないとみられる。
この脆弱性について、セキュリティー大手GMOサイバーセキュリティbyイエラエ(東京)の竹腰開氏に検証を依頼したところ、同様に暗号鍵の取り出しや内部データの改ざんができることを確認した。同社は「身分証の改ざんを高度なサイバー攻撃グループがスパイ活動に悪用する危険がある」と訴えた。切敷氏は「フェリカの暗号方式は古く、専門家の間では以前から強度不足が指摘されてきた。もっと早く別の暗号方式に切り替えるなどの対応をすべきだった」と強調した。
