ソニー株式会社は2025年8月28日、同社の非接触ICカード技術「FeliCa」のICチップのうち、2017年以前に出荷された一部製品に脆弱性があることを発表した。
この問題は独立行政法人情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受けたものである。
調査の結果、報告された操作により当該チップにおいてデータの読み取りや改ざんが実行される可能性があることが確認された。
FeliCaを利用するサービスのセキュリティはICチップのセキュリティに加え、サービスごとにシステム全体で構築される。ソニーは上記パートナーシップの枠組みの中で一部のサービス事業者や公的機関と連携している。
From: 
2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について
【編集部解説】
今回のFeliCa脆弱性の発見は、日本のデジタル決済インフラの根幹に関わる重要な問題です。FeliCa技術は累計18億個以上のチップが出荷されており、私たちの日常生活に深く浸透している技術であることを改めて認識させる事案となりました。
この脆弱性が発見された経緯も注目に値します。東京の研究グループによって発見され、IPAの「情報セキュリティ早期警戒パートナーシップガイドライン」という制度を通じて適切に報告された点は、責任ある脆弱性開示の模範例と言えるでしょう。これは単なる技術的な問題の発見ではなく、セキュリティコミュニティと企業が連携した結果でもあります。
技術的には、この脆弱性によってFeliCaの暗号システムを突破し、暗号鍵を取り出すことが可能になります。これにより理論上は、対象チップを使った身分証の改ざんや、交通カードの不正操作、電子決済システムへの攻撃が可能になる恐れがあります。
しかし、現実的な影響は限定的です。Suica、PASMO、楽天Edy、QUICPay、iD、WAON、nanacoといった主要な電子マネーサービスや、スマートフォンのおサイフケータイ機能には影響がないことが各社から発表されています。これは、これらのサービスが多層防御の仕組みを採用しており、ICチップ単体の脆弱性だけでは実際のサービスへの攻撃が困難であることを示しています。
長期的な視点では、この事案は日本の非接触決済システム全体のセキュリティ見直しのきっかけになる可能性があります。2017年以前の古いチップを使用している身分証や施設の入退管理システムでは、チップの交換や代替技術への移行が必要になるかもしれません。
また、この発見は技術的な透明性の重要性も浮き彫りにしています。セキュリティ研究者によって発見された脆弱性が適切なルートで報告され、関係各社が迅速に対応したことは、今後のセキュリティ向上に向けた良好な前例となるでしょう。
この事案は技術の進歩とセキュリティの向上が表裏一体であることを示しています。私たちが便利なテクノロジーを安心して使い続けるためには、こうした継続的なセキュリティ検証と改善が不可欠なのです。
【用語解説】
情報セキュリティ早期警戒パートナーシップガイドライン
IPAが運営する脆弱性の責任ある開示を促進する制度である。研究者が発見した脆弱性を適切なルートで関係企業に報告し、利用者への被害を最小化することを目的としている。
暗号鍵
データを暗号化・復号化するために使用される秘密の情報である。FeliCaでは相互認証時に動的に生成され、なりすましなどの不正行為を防止している。
多層防御
単一のセキュリティ対策に依存せず、複数の防御機構を組み合わせてシステム全体の安全性を確保する手法である。ICチップの脆弱性だけでは実際のサービスへの攻撃が困難になる。
【参考リンク】
ソニー株式会社 FeliCa公式ウェブサイト(外部)
ソニーが開発した非接触ICカード技術FeliCaの公式サイト。技術情報、導入事例、最新ニュースなどを掲載している。
独立行政法人情報処理推進機構(IPA)(外部)
日本の情報セキュリティ政策を推進する独立行政法人。情報セキュリティ早期警戒パートナーシップの運営を行っている。
ソニーグループ株式会社(外部)
日本を代表するテクノロジー・エンターテインメント企業。FeliCa技術の開発元であり、エレクトロニクス、ゲーム、音楽、映画など幅広い事業を展開している。
【参考記事】
Sony confirms critical flaw in IC chips used for Japan’s transit cards(外部)
ソニーが日本の交通系ICカードに使用されているFeliCaチップの重大な脆弱性を確認したことを報じた記事。
「Suica」などに採用の「FeliCa」に脆弱性見つかる それでもソニーが「安心して使って」と言う理由(外部)
Yahoo!ニュースによる詳細報道。Suica、PASMO、楽天Edy等の主要サービスへの影響がないことを確認。
ソニーが非接触ICカード技術「FeliCa」の古いチップに脆弱性があることを発表(外部)
livedoorニュースの報道。2017年以前に出荷された古いチップの脆弱性について、累計18億個以上のFeliCaチップが出荷されている背景とともに報告。
Felica(フェリカ)のセキュリティーに重大な脆弱性 データ改ざんや読み取りの恐れ(外部)
福井新聞による報道。暗号システムを突破して暗号鍵を取り出すことが可能になる技術的詳細と、身分証改ざんや電子決済システムへの攻撃リスクについて言及。
【編集部後記】
今回のFeliCa脆弱性の件、皆さんはどのように受け止められたでしょうか。私たちが何気なく使っている技術の裏側で、セキュリティ研究者や企業が日々私たちの安全を守るために努力していることを改めて実感させられました。
この事案を通じて感じるのは、便利さと安全性のバランスの難しさです。完璧なセキュリティは存在しないからこそ、継続的な検証と改善が重要なのかもしれません。皆さんは普段、どのような基準で新しい技術を受け入れているでしょうか。また、セキュリティの透明性について、どの程度まで情報公開されることを望まれますか。
