23/05/24 08:14:36.30 OEg1bYch.net
一応読み取り機との通信は毎回違う暗号でコードされてるけど
暗号化されていても送るデータはカードのIDと残高と乱数表の番号しか無いので
以前使われた乱数表で暗号化した偽造データでも、データの辻褄さえ合っていれば受けてしまう
以前使われた、使い捨てのはずの乱数表で暗号化されたデータがまた来ていると、読み取り機側単体で判別する方法が無い
例えば物理カードを捨ててモバイルSuica専用にでもして、コード化した時刻もミリ秒単位くらいで記録して重畳して渡し、デコードまでに何ミリ秒以上離れていたらアウト…くらいすれば、偽造はできても実使用はまず封じられるかと思うが
これを実現するにはモバイルSuicaを仕込んだ端末、読み取り機、サーバの全てが誤差数ミリ秒以下で時刻を同期する必要がある。NTPでもちょっと無理。