Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議　目的を聞いた

　アンノウン・テクノロジーズ（東京都千代田区）のCEOを務める切敷裕大さんが10月30日、個人のXアカウントで「世界初！暗号領域の情報が読み取れるSuicaビューアを公開」と投稿し、一部で注目を集めている。アンノウン・テクノロジーズは、8月に話題になったSuicaの脆弱性を指摘したセキュリティ企業だ。

【その他の画像】

　GitHubの当該ページによると、Suica ViewerはFeliCaベースの交通系ICカードから、リモートサーバーによる相互認証により暗号化された領域を読み取るツールだという。詳細なカード情報や残高、旅程履歴データなどが読み取れるが、書き込みには対応しない。同氏はXで「絶対残高（を）書き換える奴が出るので禁止してある」と投稿している。なお10月31日にはメンテナンスのため認証サーバーを一時休止すると投稿しており、独自のサーバーを立てていることもうかがえる。

　X上では「凄いですね」といった好意的な反応がある一方、「つまり技術的には残高の書き換えができてしまうと？」「B-CASカードの件を思い出した」など危惧する声も上がっている。デジタル放送の限定受信方式に使われるB-CASカードは、2012年に内容を書き替える方法がネット上に出回ったことで有料放送の不正視聴問題に発展した。

　切敷さんに話を聞くと、Suicaビューアを開発した目的は「ビジネス的な研究」だという。「内部フォーマットの仕様を知るにあたりオープンソースで進めた方が早いと考えた」。発見した脆弱性との関係については「基本的に関係はない。法的な問題などもないと認識している」と話している。

　アンノウン・テクノロジーズは、FeliCaの脆弱性を発見して7月に関係機関に報告したが、8月に共同通信の取材に応じて未公開の脆弱性情報を公にしたことがネット上で物議を醸した。9月には経済産業省が、報道における脆弱性情報の取り扱いについて、改めてガイドラインに即した対応を求める声明を出している。