ログイン
ログイン 会員登録
会員登録 お問合せ
お問合せ
MENU
MENU CLOSE

法人のサステナビリティ情報を紹介するWEBメディア coki

FeliCaに脆弱性発覚 交通系ICカードの基盤 Suica・PASMO・Edyは安全?各社の見解は?

コラム&ニュース ニュース
リンクをコピー

SuicaやPASMO、Edyに代表される非接触IC技術「FeliCa」。その基盤に脆弱性が発見された。私たちの生活に欠かせないカードは本当に安全なのか。ソニーやJR東日本など各社が「安心」と強調する背景と、専門家が指摘する構造的なリスクを探る。

 

生活インフラ「FeliCa」に初の脆弱性

2025年8月28日、非接触IC技術「FeliCa」に脆弱性があることが公表された。開発元のソニーは「2017年以前に出荷された一部のICチップが対象」と明らかにし、交通系ICカードや電子マネーを日常的に利用する消費者に大きな衝撃を与えた。
FeliCaは1997年に登場して以来、SuicaやPASMOなどの交通系ICカード、楽天EdyやWAONといった電子マネー、さらには社員証やマンションの入退室カードまで幅広く採用されてきた。累計出荷数は18億枚を超え、日本のキャッシュレス社会を支える「社会インフラ」といえる技術だ。その安全神話に初めて影が差した。

2017年以前のICチップに脆弱性

ソニーによると、今回問題となったのは2017年以前に出荷された旧型チップである。セキュリティ企業アンノウン・テクノロジーズ(東京都千代田区)の研究者が暗号システムを突破し、内部の暗号鍵を取り出せることを確認した。
情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき7月にソニーへ報告され、検証の結果、脆弱性の存在が公式に認められた。

この脆弱性により、特殊な操作を行えばICチップ内のデータを読み取ったり改ざんしたりできる可能性があるという。ただし、現時点で実際の被害は確認されていない。

「共通鍵方式」が抱える構造的な課題

問題の本質は、FeliCaの設計思想にある。FeliCaは「共通鍵暗号方式」を採用しており、同じサービスに属するカードと端末は一つの「マスターキー」を共有している。
たとえばSuicaシステムに属するカードや改札機は、同一の暗号鍵でやり取りを行う。これは運用効率を高める一方、万が一鍵が漏洩した場合にはシステム全体が危険にさらされるリスクを抱える。

今回、旧型カードからマスターキーを抜き取れる可能性が示されたことで、古いカードが新型カードのセキュリティまで脅かす“アキレス腱”となっている点が浮き彫りになった。

各社が相次いで「安心」を強調

 

利用者の不安を抑えるため、サービス事業者各社は即座に声明を出した。各社は共通して「利用者への影響はない」との立場を示している。

  • ソニー:「FeliCa ICチップ単体ではなく、システム全体でセキュリティが構築されているため、安心して利用できる」
  • JR東日本(Suica):「システム全体にセキュリティ対策を実施。引き続き安心して利用してほしい」
  • JR西日本(ICOCA):「多層防御で安全性を確保している」
  • PASMO協議会:「調査を進めており、システム全体で防御している」
  • NTTドコモ(iD/おサイフケータイ):「モバイルFeliCaには当該脆弱性はない。監視体制で不正を防止している」
  • 楽天Edy:「独自のセキュリティを導入しており、報道された脆弱性を悪用した不正は不可能」
  • イオン(WAON):「対象チップは一部にあるが、独自対策で利用に影響はない」
  • JCB(QUICPay):「取引監視などの仕組みにより、通常通り利用できる」
  • セブン・カードサービス(nanaco):「残高情報は安全に保管。異常があれば即時対応する」

「理論上の危険」と「現実的な安心」の間で

ソニーやJR各社が強調するのは「多層防御」という概念だ。カード単体では脆弱性が存在しても、サーバーや通信システムで常時監視・照合が行われており、不正な利用は現実的には難しいと説明する。
具体的には以下の仕組みがある。

  • 取引履歴の常時監視
  • 残高や利用状況に不自然な動きがあれば自動的にロック
  • 改札入場と出場データの矛盾をチェックし、不正を検知

これにより、仮にカードデータが改ざんされても実際の利用時に検出され、被害に至る可能性は低いとされている。

モバイルFeliCaはなぜ影響なし?

NTTドコモやソニーが強調するのが「モバイルFeliCa」の安全性だ。
スマートフォンに搭載されたFeliCaは、決済情報を「セキュアエレメント」と呼ばれる専用チップに保存している。これはOSから物理的に隔離された“デジタル金庫”のような構造で、デバイス固有の鍵で守られている。このため、FeliCa共通のマスターキーが漏洩してもスマートフォン内のデータは影響を受けない。Apple PayやGoogle Payで利用するSuicaやEdyも同様である。

まとめ 安心と課題の両立へ

FeliCaは日本のキャッシュレス社会を支える基盤であり、18億枚以上が流通している。その安全性に初めて突きつけられた脆弱性は、単なる一部カードの問題にとどまらず、社会インフラ全体のセキュリティをどう維持するかという問いを投げかけている。
サービス事業者は「安心」を強調しつつも、暗号方式や旧型カードの扱いといった課題に正面から向き合う必要がある。

消費者にとっては、慌ててカードを手放す必要はない。しかし「自分のカードは大丈夫か」という不安が広がる以上、わかりやすい説明と抜本的な解決策が求められる。FeliCaが再び“信頼の技術”として揺るがぬ地位を維持できるか、今後の対応が注目される。

Tags

ライター:

ライターアイコン

松本祐一

> このライターの記事一覧

新聞社・雑誌の記者および編集者を経て現在は現在はフリーライターとして、多方面で活動を展開。 新聞社で培った経験をもとに、時事的な記事執筆を得意とし、多様なテーマを深く掘り下げることを得意とする。

関連記事

タグ

To Top