英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事、 研究成果、 9to5Mac の記事、 The Telegraph の記事)。
この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックしたまま店舗での支払いを実行させることが可能になる。
具体的には偽の交通系 IC カード決済端末でターゲットの iPhone に接続し、カードエミュレーターを実行するスマートフォンに通信内容を中継する。あとは EMV 非接触決済端末にスマートフォンのカードエミュレーターを近付ければ、決済が行われて店舗の口座に入金されるという仕組みだ。
この攻撃は Apple Pay と Visa の組み合わせのみで成立し、Apple Pay と Mastercard の組み合わせや、Samsung Pay と Visa の組み合わせでは成立しないとのこと。しかし、Visa と Apple はこの攻撃が現実的なものではなく、不正利用の被害は Visa が補償するため、安全性に問題はないと述べているとのことだ。
| 犯罪
| セキュリティ
| アップル
| お金
| 交通
| iPhone
|
関連ストーリー:
電子マネーのnanacoとWAONが年内にもApple Pay対応へ
2021年08月11日
Apple Payを利用したクレジットカードの不正利用が発覚
2017年09月14日
Apple Payがスタート、影響でモバイルSuicaなどが利用しにくい状況に
2016年10月25日
Apple、iPhone 7やApple Watch新モデルを発表
2016年09月08日
米大手小売りがApple Payのサポートを打ち切り
2014年10月28日
iPhone 6/6 PlusのNFC機能、当面はApple Pay専用に
2014年09月19日