Apple Payに不正決済の脆弱性　「AppleにもVisaにも責任」と専門家が語る理由：「Apple Pay」悪用攻撃の影響と原因【後編】

セキュリティ研究者が「Apple Pay」のVisaカード決済に潜む脆弱性を発見した。AppleとVisaの両者は、それぞれ独立してこの脆弱性を修正できると研究者は指摘する。それはどういうことなのか。

≫ 2021年11月08日 06時30分公開

[Arielle Waldman，TechTarget]

Apple Pay脆弱性は「AppleとVisa両者に責任」の深い意味

併せて読みたいお薦め記事

決済とセキュリティ

　幸い、この攻撃が可能になるのは、iPhoneとApple Pay、Visaカードの組み合わせの場合のみだ。今回脆弱性を発見したバーミンガム大学（University of Birmingham）とサリー大学（University of Surrey）の研究者チームは「この脆弱性の原因は、iPhoneの不備と、Visaの不備が重なったことだ」と述べる。Apple PayとMastercardのクレジットカードには今回の脆弱性は見つかっていない。Samsung Electronicsのモバイル決済機能「Samsung Pay」とMastercard／Visaカードの組み合わせも同様だ。

　研究者チームはこの攻撃への対策として、iPhoneユーザーはVisaカードをエクスプレスカードに設定しないことを推奨している。研究者チームのメンバーであるバーミンガム大学のトム・チョーシア氏と、サリー大学のイオアナ・ブレアヌ氏は「この脆弱性はAppleとVisa両社の不備によるものであるため、両社に同等の責任がある」と話す。

　チョーシア氏とブレアヌ氏は、AppleとVisaはそれぞれ独自にこの問題を修正できると言う。「Appleは指紋認証なしで決済できる金額を制限すべきだ」とチョーシア氏は指摘する。Visaは決済情報をより詳細に検証して、エクスプレスカードを利用できる店舗が交通機関かどうか、ユーザー認証済みの状態で支払いが実行されたかどうかなどを確認するようにする、といった修正も可能だ。

　Visaの広報担当者は米TechTargetの取材に対し、次のように話した。

Apple Payのエクスプレスカードとして設定されているVisaカードは安全であり、クレジットカード会員は引き続き安心して使用可能です。非接触型決済に関する詐欺は、セキュリティ研究者がさまざまな手法で調査を続けており、大規模な攻撃を実行することは非現実的であることが証明されています。Visaはあらゆるセキュリティ脅威を重く受け止めており、Visaのクレジットカード利用時の決済のセキュリティを強化するためにたゆまぬ努力を続けています

　Visaが今回の問題を修正する可能性についての公式なコメントはなかった。

　チョーシア氏は、iPhoneをロックしたまま非接触型決済を可能にする機能自体には問題はなく、エクスプレスカードにMastercardのクレジットカードを設定する場合は十分に安全だと考える。「AppleとVisaがセキュリティ設計を改善する必要があるというだけだ」というのが同氏の見解だ。

　ブレアヌ氏も「エクスプレスカード自体を見直す必要はないが、今回見つかった脆弱性は修正する必要がある」と話す。運賃決済機能を提供する他のモバイル決済機能に今回の調査結果は関係ないことを同氏は強調する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ