Suica、社員証など幅広く使用の「旧型フェリカ」に脆弱性　開発元ソニーは安全性強調も、経産省「ICチップの入れ替え必要」

Suicaや社員証などに幅広く使われている非接触ICカード技術「FeliCa（フェリカ）」について、開発元のソニーは2025年8月28日、その旧型のICチップに脆弱性があると公式サイトで発表した。

同社では、Suicaなどの各サービスはシステム全体でセキュリティを構築しており、安心して利用してほしいと呼びかけている。一方、旧型ICチップが使用できるサービスでは本当に安全なのかと、一部の識者から疑問も出ており、経産省も、「旧型フェリカのICチップは、入れ替えが必要になる」と取材に指摘した。

「データ改ざん防ぐため、旧型カード使えなくするしかない」

フェリカを使ったカードは、駅の自動改札機にタッチしたり、レジでかざして電子マネーを利用したりできるなど利便性が高い。社員証やマンションのカギなどにも使われており、日常生活にすっかり浸透している。

このフェリカについて、ソニーが出したのは、「2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について」と題するお知らせだ。

それによると、17年以前に出荷された一部のICチップについて、経済産業省が所管する情報処理推進機構（IPA）を通じて外部から指摘を受けた。その報告にあった操作をソニーが行うと、チップに記憶されたデータを読み取ったり改ざんしたりできる可能性が分かったという。

ただ、Suicaなどの各サービスでは、ICチップ内ばかりでなく、システム全体でセキュリティが構築されている。ソニーは、こうした一部サービス事業者や公的機関とも連携しており、引き続き安心して利用してほしいとしている。

一方、共同通信は、独自の関係者取材を通じて、フェリカのセキュリティに重大な脆弱性が見つかったと28日にウェブ版記事などで報じた。

それによると、東京都内のセキュリティ企業スタッフのグループが、暗号システムを突破して旧型のフェリカの暗号鍵を取り出せることを確認し、7月にIPAを通じてソニーに報告したという。新型のフェリカでは修正されていたが、暗号鍵は新旧で共有しているため、新型を使ったカードのデータ改ざんも可能だとしており、旧型カードをすべて使えなくするしかないと指摘している。

経産省「暫定的な対策として、不正検知の仕組みが必要」

同様のことは、セキュリティの専門家からもX上で指摘されており、カード残高の改ざんや情報流出によるオフィスなどへの侵入の恐れがあるという。日常的に使われているIT技術だけに、大きな話題として議論になっている。

フェリカの脆弱性について、過去には、06年にネット上などで指摘され、ソニーが「セキュリティに関する事故の報告は一件も受けておりません。またフェリカの暗号が解読されたことについても弊社では確認しておりません」と否定する騒ぎになったことがある。

旧型フェリカについて、システム全体でセキュリティが構築されていない場合などがあれば、問題は起きないのだろうか。

この点について、ソニーの広報部は8月29日、J-CASTニュースの取材に対し、「システム全体のセキュリティはサービスごとに異なるため、弊社から一概に回答することができません」と答えた。06年の指摘については、「当時の当社見解どおり暗号は破られておりません。本件との関連性はございません」と説明した。

一方、IPAを所管する経産省のサイバーセキュリティ課は同日、旧型ICチップについては、「将来的にはリプレイスする必要があると考えています」と取材に明らかにした。

「暫定的には、水際でデータ改ざんなどの悪用を食い止めるため、不正検知の仕組みを作らないといけません。第1世代のICチップが問題であり、その入れ替えが根本的な対策になります」

ソニーからは、旧型フェリカの脆弱性について事前に報告があり、発表があった28日にこうしたことを伝えたという。

「さらに、今回のことを消費者に丁寧に説明し、脆弱性による影響を確認することも必要になります。対策について、スケジュールなどをしっかり考えてほしいと伝えました。データ改ざんや情報流出といった話は聞いていません」

なお、暗号については、古いDES暗号から替わって、よりセキュリティ強度があり突破されにくい新しいAES暗号になっているが、17年以前のフェリカのICチップは、古いDES暗号を使っていたという。

（J-CASTニュース編集部　野口博之）