「Apple Pay」の「Visaカード」決済に不正決済の脆弱性 その悪用の手口とは「Apple Pay」悪用攻撃の影響と原因【前編】

研究者チームが「Apple Pay」のVisaカード決済に潜む脆弱性と、それを悪用する方法を見つけた。特定の条件下で不正決済が可能になるという。その仕組みはどのようなものか。

2021年11月01日 06時30分 公開
[Arielle WaldmanTechTarget]

関連キーワード

Apple | iPhone | セキュリティ | 金融


 バーミンガム大学(University of Birmingham)とサリー大学(University of Surrey)の研究者チームは、Appleのスマートフォン「iPhone」の非接触型決済を悪用する攻撃方法を発見した。iPhoneと、そのモバイル決済機能「Apple Pay」、Visaのクレジットカードを組み合わせた非接触型決済に脆弱(ぜいじゃく)性が存在し、攻撃者はそれを悪用することで不正な決済ができるという。この攻撃はロック中のiPhoneにも仕掛けることが可能だ。

 攻撃者がこの攻撃を成功させるには、標的となるiPhoneを物理的に手に入れるか、近くにいる必要がある。実験では、研究者チームは非接触型決済で無制限に金額を引き出すことができたという。研究者チームが公開したデモ動画では、1つの口座から1000ポンドを盗むことに成功している。

研究者が見つけた「Apple Pay脆弱性」悪用の手口

会員登録(無料)が必要です

 この攻撃は、Apple Payの運賃支払い機能「Express Transit Card」(エクスプレスカード)を悪用する。研究者チームの論文によると、エンドユーザーはエクスプレスカードを使うとiPhoneのロックを解除しなくてもApple Payを使用できる。エクスプレスカードは支払いの際に指紋認証や顔認証機能「Face ID」による認証を求めないため、不正取引に悪用されやすい。

 研究者チームは、英ロンドン交通局(TfL)の自動改札口が使っている通信用の文字列(ブロードキャストコード)の悪用を想定して実験した。ブロードキャストコードに存在する特定の文字列「マジックバイト」を使用すると、iPhoneに市販のEMVカードリーダー(EMVカード:クレジットカードの統一規格に沿ったICカード)を「自動改札口」だと誤認させることができることを発見した。

 実験において、研究者チームは以下を使ってこの攻撃を実行できたという。

  • iPhone
  • カードエミュレーター
    • 実験ではNFC(近距離無線通信)規格に準拠した「Android」搭載スマートフォンを使用。
  • EMVカードリーダー
    • 実験ではカードリーダーエミュレーター「Proxmark」を使用。
  • ノートPC

 研究者チームは、この攻撃が「エクスプレスカードとしてVisaカードを設定している」場合に可能になる点を強調する。店舗の支援がなくても実行でき、どれほど高額の不正決済も阻止できなかったという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 日本ヒューレット・パッカード合同会社

脅威の一歩先を行く対策を、エッジからクラウドまで網羅するデータセキュリティ

データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。

技術文書・技術解説 Datadog Japan合同会社

本当に対策すべき脆弱性は? 調査で判明したWebアプリ脆弱性の7つのファクト

Webアプリに潜む脆弱性においては、その特定と修正が不可欠だ。Webアプリの脆弱性を再評価した調査によると、97%の脆弱性の優先順位を下げられることが判明した。調査結果を基に、Webアプリの脆弱性に関するファクトを紹介する。

製品資料 パロアルトネットワークス株式会社

VPNの課題を解消し、安全なリモートアクセス環境を構築するための方法とは?

VPNはリモートアクセスを実現するための主要なツールだが、一方で、セキュリティや拡張性に課題が残る。こうした課題を解消するソリューションとして注目されているのが、「ZTNA」だ。本資料では、VPNの課題とZTNAの有効性を解説する。

製品資料 パロアルトネットワークス株式会社

ユーザー企業調査で見えたSASEのビジネス価値、利益やコストはどれだけ変わる?

リモートワーク時代のセキュリティ対策として主流となりつつあるSASE。だがその導入によってどのようなメリットが見込めるのか、懸念を持つ企業もまだ多い。そこでユーザー企業への調査を基に、利益やコストといったSASEの特徴を探った。

製品資料 パロアルトネットワークス株式会社

従来手法より40%多く攻撃を阻止、クラウド時代のWebベース脅威への対処法とは

SaaSアプリの多用によるWebアクセスの脆弱性拡大は、フィッシングやランサムウェアといった、Webベース脅威の勢いを加速させた。これらに対し、企業はどう対処すればよいのか。求められる5つの機能や、有効なアプローチを解説する。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news253.jpg

「AIエージェント」はデジタルマーケティングをどう高度化するのか
電通デジタルはAIを活用したマーケティングソリューションブランド「∞AI」の大型アップ...