06/12/21 10:37:28 pFYaKchu0
>>925
だから>>1に書いてあるとおりIPAに連絡しているんじゃない?
スキルのある人だったら、パソリの制御ソフトを書き換えてカード情報をパソコンに
コピーして解析して、必要情報をカードに書き戻して入金額を増やしたり、入金済み
カードの情報を未入金カードに書き込むこともできるんじゃないか。
パソリの発売以来、こういう日が来るかなと思っていたよ。
931:名無しさん@七周年
06/12/21 10:37:53 DvMbjyNX0
>>929
ガードマンが一味だったらどうするね?
932:名無しさん@七周年
06/12/21 10:39:18 ZNFW2cDw0
>>929
つソーシャルハッキング
933:名無しさん@七周年
06/12/21 10:40:17 mUrXoXuh0
>>930
FeliCaってカードハックするだけで使えるんだっけ?
934:名無しさん@七周年
06/12/21 10:40:47 tBDE2TWd0
>>923
ちがうちがうw
物理アクセスってのは、カードなり何なりをこじ開け結線して解析すること。
[王] こんなチップがついてるカードもそうだけど、こじ開けると
回路そのものが狂ってデータが壊れるようになっている。
パソリはガワが接触しているだけで、情報へのアクセスは無線通信。
さらに、不正侵入を検知してデータを破壊、そして自らも使用不能になるような
仕組みも持っている。ミッションインポッシブルみたいに煙は吐かないけど、
カードとして再利用できないレベルで壊れてしまう。
だから単純な R/W を作るだけでも大変なのよ。ちょっと間違うと自殺しちゃう。
935:名無しさん@七周年
06/12/21 10:42:38 DvMbjyNX0
>>933
カードだけじゃだめだよね。
受信側の端末も必要だと思うが。
もしかして、アキバに流れてたりして。
936:名無しさん@七周年
06/12/21 10:42:55 Xk1wzUBa0
>>931
そりゃあ、鍵をガードマンから犯罪者が手に入れる方法と、
犯罪者自身が自作で合鍵作って鍵を手に入れる方法の
2つができちゃうって事だ。
「このgdgdな警備・・・さては盗れるのが快感で趣味な人だな」
って事だw
937:名無しさん@七周年
06/12/21 10:43:03 c7R70c/90
例え、暗号鍵が漏れても、その一枚が読めたりするようになるだけで、
FACTAの主張のような崩壊みたいなことにはならない。
基幹の鍵が漏れたら、FACTAがお勧めしてる
NTTの公開鍵は安全だからなんてことは言わない。
公開鍵だって共通鍵だって基幹が漏れたら同じ。
なんていうかアレ
938:名無しさん@七周年
06/12/21 10:43:35 K2w/qM3a0
2ちゃんのID→IP変換もできていないというのにおまいらときたら
939:名無しさん@七周年
06/12/21 10:44:02 pFYaKchu0
>>933
Wikiには次のように記載されている。
>他のICカードのように1つのサービス毎に認証を行わないため、高速に処理が可能であるが、セキュリティ面では劣っている。
つまり全く同じ情報が書き込まれたカードが2枚あっても、それぞれを認識出来ないわけだ。
また認証機能もないために特定のカードを停止させることも出来ない。セキュリティではETC以下だな。
940:名無しさん@七周年
06/12/21 10:45:37 8PH12tYq0
イラン人が偽パッキーと改造テレカを売ってたよね。
もちろん自分は使った事ないよ~(うはうは)
941:名無しさん@七周年
06/12/21 10:48:24 kwkon2vg0
まったく同じ情報が書き込まれていたら、
そりゃ、FeliCaに限らず区別できないだろ。
942:名無しさん@七周年
06/12/21 10:48:35 FKA1qOIg0
>>921
共通鍵暗号方式の弱点は、通信する相手にも鍵を渡さなければならず、
この過程で悪者に盗まれてしまう危険性があるということ。
また、相手が脅されて鍵を自白してしまったり、鍵を書きとめた相手のメモや装置などが
盗まれてしまう危険もある。
公開鍵暗号では、「秘密鍵」を持つ人間は、その鍵を誰にも明かす必要は無い。
誰に見られてもいい「公開鍵」を相手に送り、それで暗号化してもらえばいい。
公開鍵で暗号化された情報は、世界で自分しか持たない秘密鍵でしか開けられない。
だから、通信の途中で相手に送った鍵を盗まれても全く構わない。
それは、暗号化には使えても、解読には使えないからだ。
暗号化に使うメモや装置が盗まれてしまっても、それで解読することはできない。
むかし、RSA公開鍵暗号開発の歴史についての本を読んだことがあるが、
人類の数千年の暗号の歴史でも、本当に画期的なことだったらしい。
暗号の命であり、絶対の秘密にすべき暗号鍵を、何と公開してしまえ、というコロンブスの卵的発想、
それを可能にした数学的研究。
943:名無しさん@七周年
06/12/21 10:48:52 rfMU4cid0
>>938
そりゃ2ちゃんのIDはハッシュであって暗号じゃないからな
情報が完全に残っていないので復号は不可能
944:名無しさん@七周年
06/12/21 10:50:55 CXhRk1wr0
>>930
いや、雑誌社の人間がといたって言うなら別だが、
雑誌には解けたとリークしておきながら、その詳しいところを大まかにでも話さない、
っていうのはいたずらに不安を煽るだけだと思うんだが。
IAP経由でそういう話が出たんじゃないんでしょ?
つーか、IPA経由だったらそれはそれでどうかと思う。
945:名無しさん@七周年
06/12/21 10:52:19 mUrXoXuh0
>>939
>つまり全く同じ情報が書き込まれたカードが2枚あっても
いやそのデッドコピー作れる時点で
認識もクソもないんじゃなかろうか
946:名無しさん@七周年
06/12/21 10:53:05 V8BhURHT0
3DESがやぶられたら世界的祭じゃね?
947:名無しさん@七周年
06/12/21 10:54:54 c7R70c/90
だからさカード一枚の情報がわかったところで
金動かすとかは出来ないのよ。
金動かせるレベルのもんが漏れたら、
暗号化方式どうたらレベルじゃないのよ。何しようと全滅。
FACTAの記事だとカードだけから全てを読み取ったらしいけど、
カードからじゃ前者しか無理なの。なのに効能は後者だといってるの。
セキュリティついての記事なら、嘘持ち出してシステム批判なんかしないでしょ。
だから怪しい。
948:名無しさん@七周年
06/12/21 10:55:59 Xk1wzUBa0
>>946
まあ、祭りにはなるかもな。
どうせ、6DESとか12DESとか実装しておわりだろうがw
3DES自体が、DESを3回やるなら、DES1回より安全だろって発想だし。
949:名無しさん@七周年
06/12/21 10:57:00 Ws3Xdi+c0
結局、無限チャージが可能になったってこと?
950:名無しさん@七周年
06/12/21 10:57:10 7VufQnq00
自分がまったく知らない分野の話ってのも、読んでると意外におもしろいな。
目隠しして部屋の構造を探ってるようなおもしろさがある。
そんな俺が読んでて受ける印象としては、やはり、
暗号が破られたと言われたときに思うような事態はなにも起こってないんじゃないかと。
破られた可能性あり派がちょっと言い負けてるくさい。
がんがれ。
951:名無しさん@七周年
06/12/21 10:57:20 pFYaKchu0
>>941
認証がないのは痛すぎ。
同一カードでも認証があれば、不正利用がされた場合に後日そのカードは
認証エラーにするなどの処置をすることによって被害は最小限になるが、
認証無しだとテレホンカード・ハイウェイカード状態w
952:名無しさん@七周年
06/12/21 10:58:46 kwkon2vg0
2DESはただのDESより危険。
953:名無しさん@七周年
06/12/21 10:58:48 Hg/U15Yg0
つか、携帯のiDはあぶねえよな
954:名無しさん@七周年
06/12/21 11:01:32 kwkon2vg0
同じ情報なのに認証はどこでやるのだ。
955:名無しさん@七周年
06/12/21 11:02:36 pFYaKchu0
>>945
通常のRFIDチップには工場出荷情報が非書き換え領域に存在する。
もちろんチップごとに違う番号。
おそらくFelicaは、この情報も使って暗号化をしていると思われ。
しかし解析されたとなると、単純なコピーではなくカード毎にデコード・
エンコードされた情報の書き込みとなる。
956:名無しさん@七周年
06/12/21 11:03:43 mUrXoXuh0
>>951
EdyはしらんけどSuicaは認証あるよね
957:名無しさん@七周年
06/12/21 11:06:10 iejxDb3Q0
まああの切込隊長がわざわざブログで公開するくらいだからマジな話なんじゃね?
LDとフジの仲裁とか、木村剛の銀行救済とか今までにも色々やってきてるからな。
958:名無しさん@七周年
06/12/21 11:07:31 pFYaKchu0
>>956
Wikiには1つのサービス毎に認証を行わないって書いてあるけど。
URLリンク(ja.wikipedia.org)
認証といってもサーバ通信での認証であって、カードや規格の認証ではないと思われ。
959:名無しさん@七周年
06/12/21 11:09:47 t2lhqDZq0
俺のおサイフケータイは0円しか入ってないからいいけど個人情報取られるのはヤダなぁ
960:名無しさん@七周年
06/12/21 11:11:06 iejxDb3Q0
あと、PSPボタン問題のときは単身SCEトップ会議に乗り込んで、
クタさんにリコールせよ、と自らの立場を顧みずに促したくらいの義侠の人だし。
961:名無しさん@七周年
06/12/21 11:12:24 8jyPgUXsP
ID:pFYaKchu0は自信満々に語ってるがなんか微妙に理解がずれてるな。
FeliCaのセキュリティは調べれば調べるほどそんな(ID:pFYaKchu0が理解しているような)
単純なものじゃないのがわかるよ。
>>958
「サービス」「認証」の言葉の使い方が一定してないんじゃないか。
このコンテクストの「サービス」はEdyとかSuicaとかいう意味じゃないぞ。
どちらかというと「ファイル」(というより「ファイルのアクセス権」か?)に近い。
cf. URLリンク(www.atmarkit.co.jp)
962:名無しさん@七周年
06/12/21 11:12:25 SjnyV8Mu0
ま た き り も み か !
963:名無しさん@七周年
06/12/21 11:12:26 c7R70c/90
サービスごとに認証がないだけだろう。
縮退鍵でいっきにやうだけ
964:名無しさん@七周年
06/12/21 11:13:15 ooZ3koDQ0
156 名前:スネーク ◆4FEuh7KYCQ :2006/12/21(木) 11:06:50.85 ID:rlziI6D40
>>120
久しぶりに検証ごっこがしたくなって(笑)、
情報処理推進機構(IPA) に送信フォームを使って問い合わせてみた。
ソニーは以前、山本のネトラジ発言でベネッセの対応とは
正反対の不誠実な対応をしたからしばらく様子見。
結果が出たらまた書き込むけど、
時間があればお前らも問い合わせてみれば?
スレリンク(market板)l50
965:名無しさん@七周年
06/12/21 11:14:34 TVVP85cA0
暗号破られたのが事実だとして、
自分のFeliCaが偽物で勝手に使われて、クレジットの請求が
来ちゃうなんてこともありえるの?
966:名無しさん@七周年
06/12/21 11:14:38 t2lhqDZq0
昨日パソリ買ったんだけどクーリングオフできるかな?
967:名無しさん@七周年
06/12/21 11:15:06 Xk1wzUBa0
まあ、このニュースの問題は、
ソニーのシステムに致命的なミスがあった。しかしソニーはそれを完全否定→有りそうな話だな、オイ。
それを、発表したのはファクタ出版→何だ、単なるデマかよ・・・。
って事だなw
これがIPSが発表したニュースなら話は全然別なんだがねえ。
968:名無しさん@七周年
06/12/21 11:18:33 ctjy0fGD0
>964
『個別の案件については、お答えする立場にありません。』
といった回答が来るだけだろう。あくまでお答えする立場にあるのは、
当事者であるソニーってことで責任逃れ。
969:名無しさん@七周年
06/12/21 11:18:41 8PH12tYq0
---家の電化製品---
照明:NAIS(松下電工)
セラミックファンヒーター:ナショナル
ドライヤー:ナショナル
ゲーム機:マイクロソフト、任天堂
電気シェーバー:ブラウン
HDテレビ:パナソニック
HDDレコーダー:パナソニック
コンポ:パナソニック
デジタルオーディオプレイヤー:パナソニック
エアコン:日立
空気清浄機:日立
掃除機:日立
加湿器:象印
炊飯機:象印
オーブンレンジ:東芝
洗濯機:東芝
スカパーチューナー:東芝
冷蔵庫:三菱
ケトル:ティファール
FAX:サンヨー
パソコン:富士通
プリンタ:キヤノン
電子体重計:オムロン
ロデオマシン:スライブ
---故障したり廃棄した電化製品----
ブラウン管テレビ:ソニー
5.1CHヘッドフォン:ソニー
ゲーム機:ソニー
あれ?(゚∀゚;)
970:名無しさん@七周年
06/12/21 11:19:23 Xk1wzUBa0
>>967
IPSじゃなくてIPAか、まだ頭が寝てるなあ・・・。
971:名無しさん@七周年
06/12/21 11:19:51 H2/EL3pJ0
>>967しかも世間に一番最初に伝えたのが切込隊長という、イワクつきの良からぬブロガーだし。
972:名無しさん@七周年
06/12/21 11:21:08 8jyPgUXsP
あと、ID:pFYaKchu0は「認証」という言葉の使い方もきちんとまとめてくれ。
カードの成否認証なのか、アクセス権の認証なのかなど。
なんかいろんな意味をごっちゃにして話しているのでわけがわからん。
とりあえず、そんななかでもわかる誤解だけ解いておくと
・EdyにしろSuicaにしろ、残額情報はカードだけでなくサーバ側にも持っているので
カードを書き換えただけだと不整合が発覚する
・少なくともSuicaはアヤシいカードについては特定して無効化ができる
(だから落とした定期の再発行が可能になってるでしょ?)
・EdyはPasoriを使ってご家庭でチャージできるが、これは鍵をPCで扱ったりしている
わけではない(通信路の暗号鍵は毎回動的に生成しているし、その生成はサーバ側で
やってるので端末側は秘密鍵を知らない)
973:名無しさん@七周年
06/12/21 11:25:19 ctjy0fGD0
>>972
オマエが糞ニーの工作員でも、自称暗号研究家でも、どうでもいいけど、
システムが破られた場合、誰がそれを担保をするのかってことが一番の
問題なんだよ。
糞ニーはFeliCaで莫大な利益を得ている一方で、そのシステムの安全性
については担保していない。それこそが本質的な問題なの。
974:名無しさん@七周年
06/12/21 11:28:33 2oRPv6qg0
共通鍵ならやりようありそうだねw
975:名無しさん@七周年
06/12/21 11:29:59 8jyPgUXsP
>>973
すまん、言っている意味がよくわからんというか
なんで技術の話をしているところにビジネスの話で突っ込まれなきゃいけないんだw
そんなことは俺は最初からまったく論点にしていない。言い換えれば知ったこっちゃない。
つーか「システムの安全性については担保していない」のソースキボンヌ
事業者同士の契約内容がどうなってるかなんてどこかで明らかにされてたっけ?
976:名無しさん@七周年
06/12/21 11:30:54 mUrXoXuh0
>>973
なんか話変わってね('A`)?
977:名無しさん@七周年
06/12/21 11:31:03 ctjy0fGD0
類似の別の問題に置き換えてみよう。
FeliCaというシステムを耐震設計基準、ソニーを姉歯設計事務所や木村
建設、認証ロジックは建築確認申請と同じと考えれてみればよい。
絶対安全と思っていた耐震マンション(Edyやスイカに相当)を購入した
客が、システムの欠陥が暴かれたときどういう仕打ちを受けたかを
考えれば、どこに問題があるかは明らか。
978:名無しさん@七周年
06/12/21 11:32:06 c7R70c/90
システムが破られた時点で使いもんにならない腐ったカードが一枚作れるだけ。
もし、使いもんになるようなレベルでのシステムが破られたのなら、
ソニー限らずみな平等に同じような危険は持ってる。安全性を担保してるシステムなんて一つも無い。
ソニーがどうたらで叩くのは何か間違ってる。
979:名無しさん@七周年
06/12/21 11:34:10 VOR5JNCR0
ソニー嫌いだけど、コレに関してはソースが怪しい。
980:名無しさん@七周年
06/12/21 11:36:46 ctjy0fGD0
PSPの設計不良といい、さすが半島系の企業は開き直りが早いですね。
安全性を担保していないのではなく、安全性を担保できないの間違い
だろ?
一方で、利便性を謳うばかりで、利用者に対してリスクも十分に開示
していない。というか、ソニー側は利用者に対して100%免責という
一方的な契約を提示しているよね。
システムの安全性に100%の自信がある企業のやることとは思えませんね。
981:名無しさん@七周年
06/12/21 11:39:46 8jyPgUXsP
>>977
>>980
いやだからさー
妄想炸裂させる前に、「SONYはFeliCaの安全性について何の担保もしていない」の根拠を示してよ。
たとえばEdyのセキュリティが破られました、損害発生しました、って時は
一義的には責任を負うのはビットワレット。
そしてその損害に対して、瑕疵の割合によってソニーが責任を負う、って構造でしょ?
もちろんこれだけの大規模なプロジェクトだから万一の際の負担割合なり責任分界点なりは契約で
決まってると思うんだけど、
それが「ソニーは一切担保していない」と断言しそれを根拠に責め立ててんだから
なんらかの根拠があって言ってるんだよね。
>一方で、利便性を謳うばかりで、利用者に対してリスクも十分に開示
>していない。というか、ソニー側は利用者に対して100%免責という
>一方的な契約を提示しているよね。
FeliCaのサービスは、ソニー、事業者、コンシューマのBtoBtoCだよね。
ソニーが契約的に直接関係あるのは事業者との間であって、
実際プロモーションも事業者向けに行われていると俺は認識しているんだけど
「ソニー側は利用者に対して100%免責という一方的な契約を提示しているよね」
の契約ってどこにある?
これだけ断言してんだからソースあるんだよね。示してよ。
982:名無しさん@七周年
06/12/21 11:42:07 Tf4Kqw710
>>981
バカに構うな
983:名無しさん@七周年
06/12/21 11:42:11 mUrXoXuh0
>>981
電波かただのかまってちゃんだから
レスしちゃダメ(`・ω・´)
984:名無しさん@七周年
06/12/21 11:42:50 DQ/6Cqad0
ソースって反論する側は示さないで良いって話でもないだろ
水掛け論したくないなら率先して出してみれば?
985:名無しさん@七周年
06/12/21 11:44:34 c7R70c/90
システムが破られたらってのは、>>977で言えば、
建物にミサイルが突っ込んだレベルな。
そんなのを防げる建物は、ソニー関係なくないんじゃね?
FACTAの主張は、鍵穴から建物の中がちょっと見えたので、
この建物をミサイルで破壊することに成功したと言ってるの。
986:名無しさん@七周年
06/12/21 11:48:39 ctjy0fGD0
システムの瑕疵が原因で発生した利用者が被った損害に対して、ソニーが
責務を負うという契約をソニーと利用者が交わしていない以上、同義的な
責任がどうあれ、法律上の解釈ではソニーが利用者に対して担保するわけが
ない。
逆に、有限責任でも、無限責任でも、システムの瑕疵が原因で発生した
利用者が被った損害に対してソニーが担保するという契約が存在すると
いうなら、ソースを示してくれよ。
987:名無しさん@七周年
06/12/21 11:49:58 3fNNDiVw0
>>965
クレジットでのチャージに必要なパスワードが漏れていない限りない。
988:名無しさん@七周年
06/12/21 11:51:24 ctjy0fGD0
PSPの欠陥に対する消費者への対応を見ていれば、正気な人間なら、
こんな会社の認証システムなんて導入する気にはなれないよね。
泥棒に財布を預けるのと同じ。
989:名無しさん@七周年
06/12/21 11:52:54 8jyPgUXsP
>>984
ヒント:永田メール
>>982-983
スマン。>>986を見ても、俺が何を言ってるのかまったく理解してないようだな。まいった。
990:名無しさん@七周年
06/12/21 11:53:10 V8BhURHT0
つーか、Winnyの暗号を解読しますたみたいな話だよね。
あっちは公開鍵も使ってるみたいだけど
991:名無しさん@七周年
06/12/21 11:57:33 jRq6NVmhO
>>995ならソニー破産
992:名無しさん@七周年
06/12/21 12:03:58 jRq6NVmhO
ソニーはもうダメぽ
993:名無しさん@七周年
06/12/21 12:06:00 JVfuMBloO
みゅ
994:名無しさん@七周年
06/12/21 12:07:58 xKMI/gr60
まぁ、量子コンピュータでたら終わりだけどな、
995:名無しさん@七周年
06/12/21 12:08:12 L9/lcNer0
最近風評被害が多いみたいだが、またお前らかw
996:名無しさん@七周年
06/12/21 12:11:38 AP3inX7yO
どんなもんじゃ~い!
997:名無しさん@七周年
06/12/21 12:13:08 jRq6NVmhO
>>996ならライブドアがソニー買収!?
998:名無しさん@七周年
06/12/21 12:13:10 EabKfuXl0
華麗に法則発動
999:名無しさん@七周年
06/12/21 12:13:47 z4pf+FMp0
|
____ | たのしい
| | _____/
 ̄ /
/ / _____/
/ |
/ _/ | ______/
 ̄ _|
∩∩ ま た 新 し い ナ カ マ が 増 え ま し た V∩
(7ヌ) パスワード 契約書 (/ /
/ / 迎賓館 名簿 ∧_∧ イーホームズ ∧_∧ 口利き ||
/ / ∧_∧ ∧_∧ _(´∀` ) ∧_∧ _(´∀`*) ∧_∧ ||
\ \( ´∀`)ー‐--( ´∀` ) ̄ レ ⌒ (´∀` ) ̄ セン ⌒`(´∀` ) //
\ 竹 /⌒ 穴 ⌒ ̄ヽ オ /~⌒ オー ⌒ ̄ヽ、 チュ /~⌒ 日 ⌒ /
| 中 |ー、 吹 / ̄| パ //`i エー / ̄| リー //`i 本 /
| 工 | | 工 / (ミ レ ミ) | シー / (ミ 21 ミ) | 理 |
| 務 | | 務 | / ス21 \ | 設 | / \ | 水 |
| 店 | ) 店 / /\. \| 計 / /\ \| 設 ヽ
/ ノ | / ヽ ヽ、_/) (\ ) ヽ ヽ、_/) (\ ) 計 |
| | | / /| / レ \`ー ' | | / レ \`ー ' | | /
1000:名無しさん@七周年
06/12/21 12:13:48 HM9adnB+0
EdyのICって単にIDが書いてあるだけで、残高情報とかはサーバ側で一元管理
してるのかと勝手に思ってたけど違ったのか
IC自体に残高とか入出金情報みたいなのが書いてあるのなら、なんかちょっと怖いね
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。