  |
はてなキーワード: 交通系とは
AIでごめんやけどこれはどう?
• まずは今のしんどさを軽視せず、自分の心身を守ることを最優先に考える
• 同じ整備士でも輸入車ディーラーとバス・タクシー整備のように業態で働き方は大きく変わる
• バスやタクシーの整備は定期点検が中心で、突発的な修理は比較的少なめなので時間の見通しが立てやすい場合が多い
• ただし、車両数が多いため繁忙期には一気に作業が重なることもある
• 給与はディーラーほどインセンティブが乗りにくい一方で、安定感は高めな傾向
• 公共交通系の会社は福利厚生や休日制度がしっかりしている場合も多い
• 今の職場で自分を責めすぎず、環境が合わないだけだと割り切る視点も必要
• 辞める=整備士を諦めることではなく、別のフィールドで続ける選択肢も十分ある
https://www.marketeq.co.jp/uniformplatform/felica_2.html
確かにここでわざわざ共通の鍵を使うことは可能っぽいけど、そんな実装をするかな。普通にリファレンスに従っているとそうはならない。別々になる。
まあ、セキュリティ問題ではしばしば問題になった後で「何でそんな実装にしたのか」と後知恵で思うようなことはよくあるけれども。
また、記事によれば交通系の残高を書き換えてみせたそうなので、交通系がこの実装をしていたということになる。
だがさすがにそこまでアレではないと思いたいが……。
脆弱性の再現は、おそらくリーダライターは古い奴はいらなくて新しい奴でいける。もちろんソフトはクラックツールみたいなのを使う。
カードは古いカード集める人はいるかも。それでオフライン処理をしている交通系などで不正に高い残金を書き込んで乗車とかは可能かもね。
ただ、システム側で検知が可能なので、すぐにカードがブロックリストに乗るんじゃないかなあ。今も記名式suicaを落としたりすると古いカードを無効化して新しいカードを発行する仕組みがある。それと同じで不正検出したらカードの無効化はできそう。
また、今は交通系もオフラインとオンラインが混在していて区別がつかないので不正も通るかは博打。
実際ほとんど使われないと思う。まぁ、昔の不正テレカみたいに1回ポッキリで使える不正カードとか言って出まわる可能性が僅かにあるかなあ。
問題はIDカードとしての利用の方かな。標的型攻撃でソーシャルハックを組み合わせて入手され、不正複製されるとまずい。
ただ、脆弱性のありかは明白なので、新方式のみカードにカードを更新をかけつつ、行き渡ったらシステム側で旧規格での通信を無効化するとか、金はかかるが混乱が少ない方法で更新はできる。
また、IDカードはそれ単体でデータが盗まれてもわりと何もできないので、その会社をピンポイントで狙う人が行う手段がひとつ増えたぐらいで、全体のリスクはそんなに増えないと思われる。
(だから割り切って新規手配からカードを更新し、既存のカードの更新はしないところ所も多いと思う)
後は、乗車履歴が改ざんできると、それを元に不正経理やるやつとかは地味に出てくるかもな。経理や税務署は頭が痛いかもな。まぁこれをやるやつは今でも何かやってると思うが。
3DESの暗号化キーが流出した場合、古いカードは金額を書き換えられる恐れがあるんじゃないのかな?
中身のデータ構造が分からなくても、Edyのデータのバックアップ取って、Edyで買い物して、バックアップデータを復元したら金額も元通りってなりそうな気がするんだけど、違うのかな。
Yes。ただ既にオフラインだけで決済をやっているのは交通系だけだと思われるので影響は少なく検出は可能。また交通系も決済はオフラインでもその後でオンラインで同期されたときにセンタ側で情報に矛盾が出るので検出出来ると思われる。物販はオンラインのみ。
ニュースが出たって事は、様々な決済端末で古いカードを利用できなくする目処がたったのかな?
セキュリティ会社が自社の技術力を誇示することが目的だと思われる。まともな会社ならこんな公開の仕方はしない。
入退室システムは大丈夫なのかな。リーダーのファームウェア更新で対応できるとは思うけど。
問題はこっちやろな。標的型攻撃で使われると厄介。ただ、入退出システムはそもそも暗号化されていないIDを使っている雑な実装のものも結構あるんで、そもそもアカンやつもある。(例えば、一般の交通系ICを鍵代わりにできる奴はだいたいこれ)
3DESに対応している古い製品ほどやばいような気がするんだけど、そういうのはサポートも終わってそうだけど、現場では使われ続けてたりするしなあ。
恐らくほとんどの製品は3DESに対応してると思う。ただ真面目に作ってあれば3DESを無効にできる機能があるはず。無かったらパッチだろうけどちゃんと当たるかな。
新しいカードやスマホのFelicaは3DESを使ってないから問題なく利用続けられるのはそりゃ当然だと思うんだけど、だからと言って問題がないわけじゃないと思うんだがどうよ?
例えば?
https://news.yahoo.co.jp/articles/36b7dc49140f802e2ebeb3320d433573f132e4c6
https://www.sony.co.jp/Products/felica/business/information/2025001.html
情報を整理するとおそらくこう
で、社会的影響はおそらく少ない。
古いカードを持っている人は、悪意のあるスキミングで改ざんができる可能性があるにはある。ただ誰が古いICのカードを持っているかを知ることができないので、相当にスキミングは困難だと思われる。ただし標的型攻撃は別なので注意。
お店などの側もカードの残高をみて決済をしているわけではないので(システム側が残高を管理しているので)カードだけ書き換えても不正利用はほぼ無理(交通系も物販ではオンライン確認している)。
公共交通機関の改札などもオンラインになりつつあるし、改札でも決済時リアルタイムでオンライン確認をしていないだけで、随時データは送っているので、不正検知したらブロックリストに入ってすぐに使えなくなる。不正利用はほぼ無理。
そして、対策としては古いカードの交換キャンペーンが行われるだろう。そのうえで、トリプルDESでの通信を端末側が拒否する設定が配られ、その時点で使えなくなると思われる。まぁ影響は小さいし、あんまり心配しなくて良いかと。
FeliCaには古いトリプルDESを使っていた旧バージョンと、AES暗号をつかった新バージョン(2011年発表)がある。
https://www.nikkei.com/article/DGXNASFK10031_Q1A610C1000000/
で、2011年時点ではトリプルDESが破られるのは時間の問題だとされつつ、まだ無事だったので、社会的影響を考え、両対応のチップと両対応のリーダーをだし、徐々に更新をかけていった。
調べた範囲では、いつまでトリプルDESで通信ができるカードが出荷されていたかを示す情報は見つからない。しかし、おそらく今回のリリースで、最長でも2017年までのチップではトリプルDESが使えるカードが出ていたと考えて良いと思う。(もちろんその期限で綺麗に切り替わっているわけではないので「一部の」という表現になっているのではないか)
また、トリプルDES自体は鍵長でいくとまだ総当たりで破られる心配はないのだが、脆弱性も見つかっているし、色々な研究のターゲットにされて破られる例が多数あり、それらの手法と近頃の強力な計算機を用意する事で力業で破れるレベルまで来ていた。
もう専門家はだれもが破られることを予想していたが、それを実際にやってみて報告した会社が出たよ、と言うことだろうと思われる。
そうして取り出された鍵は、トリプルDESでの通信モードを持っている旧タイプまたは以降中の古いFeliCaチップにのみ影響を与えるので、2017年より前の、と言う表現ではないかと思われる。
また、各社がおサイフケータイ系は影響を受けないと言っているのも、現行サポートされているおサイフケータイはDES通信は既にサポートされていないからではないかと思われる。(とっくの昔にSDKも廃盤)
はっきり言って共同通信の報道の仕方がアホすぎ。【独自】(ドヤァ じゃねえんだわ。なあにが「ソニーは共同通信の指摘を受けて公表した」だヴォケ。スクープ気取りか?アホか。これで何人の人が詐欺にあうんですかね。
ニュースソースに言われるままに記事を書いてるだろアレ。ちゃんと他の専門家に取材してから記事にしろよ。
セキュリティ関連企業は名前を売るために大げさに言うんだよ。普通のプレスリリースもそうだろ?なのになんでセキュリティの話だけ鵜呑みにするんだよ。ちゃんと裏取りと検証取材しろ。
共同通信は新旧のFeliCaで同じ鍵が使われているとしているが、鍵長が異なるDESとAESで同じ鍵が使えるわけが無いので有り得ない。シリンダー錠とディンプル錠が同じ鍵だとか言ってるのと同レベルの与太話。
CNET Japanが2025/7/18に「スマホ決済でVISAタッチが利用者急増」を報道した。
https://japan.cnet.com/article/35235982/
主に以下の要素が挙げられる。
これらが同時多発的に作用し、VISAタッチは利用者数を爆発的に伸ばしたが、本質的な理由は以下の二点に集約される。
Suica(他の交通系ICカードやモバイルなんたらを含む)はプリペイド方式ゆえ残高が尽きれば改札どころか駅構内にも入れない。オートチャージは交通会社系のクレジットカードにしか許可されない。スマホに定期券機能を搭載するには、モバイルなんたら圏内に限定される。東海や九州では物理カード併用が不可欠だ。2023年から続くIC不足はカード在庫を圧迫し、訪日客や地方在住者のモバイル移行を阻害する要因となった。
ポストペイド方式は残高管理の煩わしさを消し去り、決済額にクレジットポイントがそのまま付く。カードあるいはApple Pay/Google Payがあれば全国で「一枚完結」し、乗車と買い物の履歴は同じウォレットに集約され家計簿アプリとの連携も容易だ。空港到着と同時に移動を開始でき、事前登録不要。チャージ機の行列やカード在庫不足という交通系特有のボトルネックを回避しつつ、改札処理はSuicaと同等の一秒未満。批判はSuica偏重の先入観に過ぎず、実用上のストレスはほぼ感じない。
交通特化で深化してきたSuicaに対し、VISAタッチは買い物と乗車を同じ後払いスキームで束ねる汎用プラットフォームとして猛進する。JR東日本がポストペイド型次世代Suicaなど抜本策を提示しない限り、利用シーンの広さとカード発行枚数で勝るタッチ決済の勢いを止めることは難しい。
anond:20250403140122 を見て、事前チャージが必要で有効期限が設定されている電子マネー (キャッシュレス決済) はどのくらいあるのか気になったのでいろいろ調べてみた。順番はKyash以外適当。
リンクは貼ろうと思ったが貼りすぎると日記が登録されないというはてな匿名ダイアリー特有の問題があるのでやめた (はてなブログだったら貼れるが) 。
あと、この記事を書いている間に先をこされたけど、記事を確認したら調査していた会社がほとんど違っていたから、そのまま投稿することに。
上記投稿でも話題になっている通り、最終使用から6か月で消えることが書いてある。
最終使用から10年で消える。ただし、残額自体は保持されており、駅の窓口で手数料を残額から引いたうえで再発行や払い戻しができる (古いカードは回収になる / 手数料より残額のほうがすくない場合はそのぶん割引されるため残額以上の請求はされない) 。
Suicaが10周年 (2011年) のとき、JRの駅に10周年記念ポスターが貼られていたが、そのとなりに10年間未使用のSuicaについての注意喚起ポスターも貼られていたのをおぼえている (おそらくセットだったのだろう) 。
東京駅記念Suica (2016年3月までに発行) も1度も使用していない人は2026年3月に最初の有効期限がくるので注意。
Suicaにかぎらず交通系は10年がおおいようなので、10年に1回はチャージするか電車やバスに乗るか買い物に使うかをしたほうがいい (1円でも変動すればそこから10年延長される) 。ただし10年未満でも長期間使用がなかった場合ロックがかかる可能性があるので、その場合は駅の窓口でロックを解除してもらう必要がある。
楽天Edyに有効期限はない。ただし、紛失や盗難などによる補償もいっさいない (スマートフォンは除く) ので、なくさないように注意が必要である。
ちなみに、楽天Edyオンラインは4年。楽天に限った話ではないが、名前がおなじ別サービスはやめてほしい。
いっぽう、楽天キャッシュは10年間。Edyは無期限なのに...。
有効期限はない。クレジットカード一体型はその有効期限までと書いてあるが、これはWAONに限った話ではなく、どの電子マネーでも同じ。
残額に有効期限はないが、ポイントには有効期限がある。ポイントははやめにチャージに使用するのがおすすめ。
有効期限はない。スマートフォンの契約キャリアがMVNO (格安スマホ) ではないのであれば、キャリアと決済サービスをそろえるのが利便性の面ではおすすめ (docomo = d払い・au = au PAY・SoftBank = PayPay) 。
PayPayという名前は個人的にはセンスがないとおもうから、LINEヤフーの統合ではLINE Payのほうが生き残ってほしかった (d払いユーザーなのでどっちも使っていないけど) 。
最終使用から10年。ただし、Tマネー かざして支払い (iDで支払えた) が終了、ファミリーマートも (ファミペイ移行促進のためなのか) Vマネーとの提携をみなおしたため、使いづらい電子マネーになってしまった。
それはそうと三井住友銀行はOliveの磁気ストライプ部分にVポイントカードの機能を内蔵すべきだと思う。dカードは (dポイントカードを除き) すでにそうなっていて、ローソンのセルフレジはポイントカードのスキャン方法を「カードをスライド」「携帯・スマホをタッチ」(NFC部分にもポイント機能が内蔵されているため)「バーコードを読み取り」のどれを選択しても、dカードをスキャンすることができる。
あと、せっかくVマネーになったのだから、Tマネー時代にiD加盟店で使えたのも復活してほしい。
3年。最終使用日基準ではなく、残額ごとに有効期限が設定されているというややこしい仕様。dポイント (付与から24か月) もそうなのだが、dポイントは7月から最終使用日から12か月に変更される (のでしばらくdポイントをためたりつかったりしていない人は注意) 。磁気のQUOカード (有効期限はない) はたまにもらうけど、QUOカードPayはローソンのキャンペーンでもらったきり。ややこしいから統合してほしいのだが。
それはそうと、QuoカードPayのヘルプページはSafariだと表示されない気がするけど、自分だけなんだろうか。検索結果のプレビューに表示されたおかげで有効期限を確認できた。
ANA Payはコード決済だけでなく、Apple Pay・Google Payに設定すればVisa (通販含む) やiDの加盟店でもつかえるので、使用はしやすい。Androidのタッチ決済でVisaとiDの両方が設定できるカード会社はすくない (iOSはそこそこある) なか、ANA Payは両方できる。有効期限がある電子マネーは、加盟店数も考慮してえらぶべき (加盟店数が大幅減少したVマネーは例外中の例外なので基本的に減少はよく使用する店舗以外気にする必要はない) 。
ANAはVisaとiDなのに対して、JALはMastercardとQUICPayになっている。AndroidではQUICPayのみなので、Android民はANAのほうが若干ではあるが使用可能店舗数が増える。これはおそらく日本だとGoogle PayよりApple Payのほうがはやく普及したためによる加盟会社の差であろう (Androidにおいてはおサイフケータイ (や先月開始したSamsung Pay) と競合になってしまうため) 。
カードの有効期限 (種類にもよるが5年がおおい) で失効するが、有効期限の1年前以降に使用した実績がある場合は更新カードの発行対象になり、新しいカードの有効期限まで延長される。
発行から365日 (1年) 。発行からってことは残額ごとに有効期限? (つかったことがないので詳細は不明)
はてなもかつては有料サービスの決済ははてなポイントに事前チャージして使用する方式だった。現在はクレジットカードによる直接決済に対応したため、2023年6月に廃止、クレジットカード以外の決済手段 (銀行振り込みやキャリア決済など) が選択できなくなった。クレジットカードを持っていない人は...。なお有効期限は最終使用から1年間だった。
そのほかにも各種サービスで記載があるので、利用規約や資金決済法に基づく表示などはよく読んでから使用したい。そんなの面倒だというなら、残額が無期限である楽天Edy・WAON・nanaco、コード決済ならキャリアが提供しているPayPay・d払い・au PAYだけを使用するのがいいと思う。
コード決済がここまで乱立しているのは、おそらく加盟店側の導入コストの低さ (ユーザーに金額を入力させる方式ならクレジットカードやタッチ決済とはことなりレジの交換が不要) が影響しているのだろうが、使う側にとっては...。
