Apple Payに不正決済の脆弱性 「AppleにもVisaにも責任」と専門家が語る理由：「Apple Pay」悪用攻撃の影響と原因【後編】

セキュリティ研究者が「Apple Pay」のVisaカード決済に潜む脆弱性を発見した。AppleとVisaの両者は、それぞれ独立してこの脆弱性を修正できると研究者は指摘する。それはどういうことなのか。

[Arielle Waldman，TechTarget]

　Appleのスマートフォン「iPhone」とモバイル決済機能「Apple Pay」の運賃支払い機能「Express Transit Card」（エクスプレスカード）、Visaのクレジットカードを組み合わせた非接触型決済に脆弱（ぜいじゃく）性が存在し、不正決済に悪用される恐れがあることが分かった。脆弱性の詳細と攻撃の仕組みは、前編「『Apple Pay』の『Visaカード』決済に不正決済の脆弱性　その悪用の手口とは」で解説した通りだ。

　幸い、この攻撃が可能になるのは、iPhoneとApple Pay、Visaカードの組み合わせの場合のみだ。今回脆弱性を発見したバーミンガム大学（University of Birmingham）とサリー大学（University of Surrey）の研究者チームは「この脆弱性の原因は、iPhoneの不備と、Visaの不備が重なったことだ」と述べる。Apple PayとMastercardのクレジットカードには今回の脆弱性は見つかっていない。Samsung Electronicsのモバイル決済機能「Samsung Pay」とMastercard／Visaカードの組み合わせも同様だ。

併せて読みたいお薦め記事

決済とセキュリティ

• 「キャッシュレス」「5G」「AI」のセキュリティリスクとは？　対策を整理
• Googleの調査で分かった「金融機関がクラウドを使わない“本当の理由”」
• 7pay事件で再考すべき「Webアプリケーション」のリスクと対策

Apple Pay脆弱性は「AppleとVisa両者に責任」の深い意味

　研究者チームはこの攻撃への対策として、iPhoneユーザーはVisaカードをエクスプレスカードに設定しないことを推奨している。研究者チームのメンバーであるバーミンガム大学のトム・チョーシア氏と、サリー大学のイオアナ・ブレアヌ氏は「この脆弱性はAppleとVisa両社の不備によるものであるため、両社に同等の責任がある」と話す。

　チョーシア氏とブレアヌ氏は、AppleとVisaはそれぞれ独自にこの問題を修正できると言う。「Appleは指紋認証なしで決済できる金額を制限すべきだ」とチョーシア氏は指摘する。Visaは決済情報をより詳細に検証して、エクスプレスカードを利用できる店舗が交通機関かどうか、ユーザー認証済みの状態で支払いが実行されたかどうかなどを確認するようにする、といった修正も可能だ。

　Visaの広報担当者は米TechTargetの取材に対し、次のように話した。

Apple Payのエクスプレスカードとして設定されているVisaカードは安全であり、クレジットカード会員は引き続き安心して使用可能です。非接触型決済に関する詐欺は、セキュリティ研究者がさまざまな手法で調査を続けており、大規模な攻撃を実行することは非現実的であることが証明されています。Visaはあらゆるセキュリティ脅威を重く受け止めており、Visaのクレジットカード利用時の決済のセキュリティを強化するためにたゆまぬ努力を続けています

　Visaが今回の問題を修正する可能性についての公式なコメントはなかった。

　チョーシア氏は、iPhoneをロックしたまま非接触型決済を可能にする機能自体には問題はなく、エクスプレスカードにMastercardのクレジットカードを設定する場合は十分に安全だと考える。「AppleとVisaがセキュリティ設計を改善する必要があるというだけだ」というのが同氏の見解だ。

　ブレアヌ氏も「エクスプレスカード自体を見直す必要はないが、今回見つかった脆弱性は修正する必要がある」と話す。運賃決済機能を提供する他のモバイル決済機能に今回の調査結果は関係ないことを同氏は強調する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。