「FeliCa」の脆弱性で共同通信の報道が波紋　ソニーが公表していなかった“真っ当”な理由とは？

　共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにおいても攻撃が可能という詳細記事が配信された。

【画像を見る】セキュリティの情報が公開されるまでにはいくつかの約束ごとがある

　翌29日に地方紙などに配信された記事では実際に交通系ICカードの残高を変更したスクリーンショットが掲載されるなど、より報道がエスカレートしている。

●情報公開のプロセス

　今回、FeliCaにかかわる事業者から詳細情報が一切提供されておらず、技術的な解説は発見者の報告を介した当該の報道のみという状況で、危険性や安全性を論じられるほどの確かな情報が存在しない。そのうえで推測を交えて筆者の見解を述べれば、問題が発見されたからといって即座に自身が被害を受けたり、社会インフラが崩壊するような可能性は極めて低いと考える。

　理由としては、まずソニーが2017年以前に出荷されたFeliCaチップの"一部"に脆弱性があると、数少ない情報の中で明言しており、「おサイフケータイ」などモバイル環境は対象外と述べている点がある。この時点で直接脆弱性を利用可能な"FeliCaカード"の枚数は限定される。加えて、直接利用者に危害があるような攻撃も、おそらくはカードを"タッチ"するシステム側に仕掛けをするか、何らかの形でカードを入手して直接書き換えを行うなどの方法が必要だとみられるため、悪意のある人物に直接接触しない限りは実害はないのではないだろうか。

　ゆえに、社会インフラを大規模に破壊するような攻撃は現時点では難しく、加えて各社のサービスではFeliCaそのものとは別に追加のセキュリティ対策が施されているため（例えば手を加えたカードのブラックリスト入りや書き換え済み残高チェックなど）、できることは限られていると考える。ここまでが筆者の推測だ。

　報道では続報を含めて脆弱性の詳細や実際の写真を公開しているが、筆者自身がその実物や技術的問題を確認できているわけではないのでここでは触れない。報道後に、ソニーをはじめFeliCaを利用したサービスを提供する各社が脆弱性の存在を認めるプレスリリースを出しているが、詳細については精査中でコメントできないと一様に述べている。

　これは別に問題を隠蔽していて、報道が出たからしぶしぶ情報を出して存在を認めたというわけではなく、コンピュータを利用したシステムには必ずついてまわる「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構（IPA）の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動による。

　コンピュータシステムで使われるソフトウェアは何らかの脆弱性を抱えている可能性が高いが、これを悪用されると同システムを利用する人々に多大な被害を生じることになる。そのため、セキュリティ専門家のような人物が脆弱性を発見した場合、JPCERT/CCにまず報告を行うと、これが製品開発者へと通知され、対策会議が行われた後に問題への対応や情報公開までのスケジュールが検討される。この過程を経て、初めて製品開発者（今回の場合はソニーやサービス事業者）から一般に脆弱性情報が公表される。

　なぜこのような面倒な手順が推奨されているのかといえば、いきなり脆弱性が世間一般に公開された場合、これを利用した攻撃手段が悪意ある第三者によって開発され、より被害を広げる結果になるからだ。これはセキュリティに関して世界共通の推奨ルールであり、ソニーをはじめとする各社は全て同じ行動を採った理由だ。

●報道の在り方が問われる

　筆者がソニーに確認したところ、2025年7月末に当該の脆弱性が報告され、各社と水面下で対策を練ってきたという。ただ冒頭の報道によって意図せぬタイミングで脆弱性が公表されてしまい、一連のプレスリリース掲出という流れに至ったわけだ。

　脆弱性の詳細を説明していないのは、それが攻撃のヒントになる可能性が高いからであり、あくまでいらぬ誤解が広がらないよう対応したにすぎない。実際、FeliCaに限らず他の同種の製品でも脆弱性の問題はたびたび公表されており、そのたびに今回のようなプロセスを経て対策が行われてきた。

　今回筆者が問題だと考えるのは、こうした背景があるにもかかわらず、報道を繰り返して危機を煽るメディア各社の存在だ。技術的な詳細が公開されていない以上、どのような問題があり、またそれがどの程度の影響をもたらすのか第三者には検証できない。そのため、報道そのものへの反論もしづらいのが実際だ。また、脆弱性の報告者自身がメディアに積極的に情報を公開している点も気になる。ガイドラインの範囲を逸脱しており、あまり感心できない動きだと考える。

　この手の脆弱性の問題では、不必要に煽って被害を拡大するようなまねはせず、影響範囲を最小限に留めるのが重要だ。一通りの対策を経たところで、将来に向けて不安の種をつぶしていくことも必要だと考える。

　例えば、以前に筆者は「オフライン取引」のメカニズムについて解説したが、これは商習慣に起因した問題が根底にある。この部分を突かれた脆弱性であり、利用者の不安を取り除きつつ、今後のシステム運用の改善が求められると考えた。情報公開の在り方が問われる事象だというのが、今回の一連の報道における筆者の意見だ。