ICカード乗車券「Suica(スイカ)」や電子マネー「Edy(エディ)」に使われている非接触型ICカード規格「FeliCa(フェリカ)」。暗号が解読された、という報道が出たかと思えば「電子マネー極秘情報流出」という見出しを掲げた報道も登場した。真相ははっきりしないが、周辺がやけに騒がしい。
発端は有名ブロガーとして知られる「切込隊長」こと山本一郎さんのブログの、2006年12月18日の、こんな書き込みだ。
「FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー(フェリカネットワークス)は公表するべきではないかと思います」
暗号破り、ソニーは全面否定
「スイカ」にも使われている「フェリカ」の暗号は大丈夫?
この2日後の12月20日に発売された年間予約購読制の経済雑誌「FACTA(ファクタ)」もトップ項目でこの問題を報じ、騒ぎが広がった。
これを受けて翌21日にはソニーが「弊社では1995年にフェリカ製品の市場導入をして以来、セキュリティに関する事故の報告は一件も受けておりません。またフェリカの暗号が解読されたことについても弊社では確認しておりません」と、これを否定するコメントを出し、各ネットメディアもこれを報じた。これらの記事では「ソニーは全面否定」という部分を前面に押し出し、「客観的に見て、説得力に欠ける内容になっていることは否めない(ITMedia)」「雑誌、ブログ記事ともに、FeliCaの暗号を破った場面を直接確認したという記述は見あたらず、いずれも噂レベルと判断できる(ITPro)」などとファクタの報道に疑問を投げかける声が相次いだ。
もっとも、ファクタの側は編集長ブログで、フェリカが電子マネーのデファクト・スタンダードであることから「フェリカの暗号が破られ、香港や中国のマフィアの餌食になる可能性の高い電子マネーに、自ら警告を出しもせず、回収さえしないのは、それ自体が罪ではないのか」書くなど、鼻息は荒いままだ。さらに、ファクタの記事に疑問符を付けたメディアを「ITMediaはソニーの太鼓もちかね」「御用聞き記者」などとこき下ろしてもいる。
「セキュリティーに影響するものは含まれていません」
実はこのブログ、12月22日付で、ソニーの子会社であるフェリカネットワークスに06年3月まで勤務していた派遣社員が使っていた私用PCがウイルスに感染し、情報流出を引き起こしていた、と書いている。
これの後追いなのか、夕刊フジは12月27日、「電子マネー 極秘情報流出」という大見出しで報じ、再びフェリカに注目が集まることになった。毎日新聞も12月28日朝刊のベタ記事でこのことを報じている。
フェリカネットワークス(FN社)の広報課ではJ-CASTニュースに対して
「(FN社の大株主である)NTTドコモから11月21日、流出の指摘を受けました。流出したのは、一般のお客様の個人情報ではなく、弊社が契約している企業がプログラムを作成する際に使うマニュアルなどです。セキュリティーに影響するものは含まれていません」
としている。賠償問題については
「情報を流出させた社員については、派遣社員という身分なので、直接その社員に賠償を求めたりするのではなく、派遣元の企業と協議することになると思います」
と話している。さらに、流出した内容と影響範囲が特定できていることから、マスコミ向けの発表は予定されていないという。