Apple Payのセキュリティ欠陥により、Visaカードは「無制限」の不正な非接触型決済のリスクにさらされる

Apple Payの公共交通機関の支払いモードとVisaカードに影響を与える脆弱性により、消費者は「無制限の」支払い詐欺にさらされる可能性があると英国の研究者らは述べた。

Apple Payを使用して公共交通機関を利用する通勤者は、Visa支払いカードから「無制限」の金額を盗まれる危険にさらされる可能性があります。

英国の 2 つの大学の研究者Apple Pay ユーザーが iPhone のウォレットで「エクスプレストランジット」支払いオプションとして Visa クレジットカードまたはデビットカードを設定したときに発生する脆弱性を特定しました。

この脆弱性を示すビデオの中で、研究者らはロックされた iPhone から 1,000 ポンド (1,158 ユーロ) の非接触型支払いを引き出すことができました。

研究者らは、このセキュリティ上の欠陥はApple PayとVisaを組み合わせて使用した場合にのみ発生したと述べた。他の組み合わせ (Apple Pay と Mastercard、Samsung Pay と Visa など) は影響を受けませんでした。

「iPhoneの所有者は、交通機関の支払い用にVisaカードを設定しているかどうかを確認し、そうであればそれを無効にする必要がある。Apple Payのユーザーが危険にさらされる必要はないが、AppleまたはVisaがこの問題を修正するまでは、危険にさらされることになる」と研究報告は述べている。共著者のトム・チョシア氏（バーミンガム大学）。

両社はユーロニュース・ネクストに対し、この欠陥が実際の状況で悪用される可能性は低いと語った。

欠陥はどのように機能するのでしょうか?

この脆弱性は、iPhone のエクスプレストランジットモードを悪用します。このモードは、ユーザーが携帯電話のロックを解除したり支払いを承認したりすることなく、公共交通機関に出入りできるようにするためによく使用されます。

研究者らは、単純な無線機器を使用して iPhone をだまして改札と通信していると思わせ、エクスプレストランジットモードを有効にすることができることを発見しました。

しかし、実際には、信号は Android スマートフォンを介して非接触型決済端末にワイヤレスで渡されていました。

研究者らは、iPhone から渡されたコードを変更することで、iPhone のユーザーが PIN、Face ID、Touch ID などによって支払いを承認したと非接触端末に認識させ、取引の現金制限を解除することができました。

実際のプロセスのビデオでは、研究者らがロックされた iPhone から 1,000 ユーロ以上を引き出すのに約 20 秒かかったことが示されています。

責任を取る

研究者らによると、Appleには昨年10月にセキュリティ上の欠陥を通知し、Visaには2021年5月に通知されたという。しかし、この脆弱性は未修正のままだという。

バーミンガム大学の研究リーダー、アンドリーア・ラドゥ氏は「われわれの研究は、生活を徐々に楽にすることを目的とした機能が裏目に出てセキュリティに悪影響を及ぼし、ユーザーに深刻な経済的影響を与える可能性があるという明らかな例を示している」と述べた。

「AppleとVisaとの話し合いの結果、2つの業界当事者がそれぞれ部分的に責任を負っている場合、どちらも責任を受け入れて修正を導入するつもりはなく、ユーザーが無期限に脆弱なままになることが明らかになった」と同氏は付け加えた。

非接触型詐欺は「現実的ではない」

Euronews NextはAppleとVisaの双方に連絡し、なぜこの欠陥が解決されなかったのか尋ねた。

Appleの広報担当者は声明で、「これはVisaのシステムに関する懸念事項だが、Visaは、複数のセキュリティ層が導入されていることを考慮すると、現実世界ではこの種の詐欺が起こる可能性は低いと考えている」と述べた。

万が一、不正な支払いが発生した場合でも、ビザはカード所有者がビザのゼロ責任ポリシーによって保護されることを明確にしています」と広報担当者は続けた。

Euronews Nextは、研究者らがこの問題を「Apple PayとVisaの両方のシステムの欠陥の組み合わせ」と表現し、「AppleかVisaのどちらかが自力でこの攻撃を軽減できる」と主張したと指摘したが、Appleはそれ以上のコメントを拒否した。

ビザはユーロニュース・ネクストに対し、個人を対象とした制度は拡大が難しいため、顧客に対する潜在的な脅威は低いと語った。

Visaの広報担当者は、「Apple Pay Express Transitに接続されたVisaカードは安全であり、カード所有者は安心して使い続けられるはずだ」と述べた。

「非接触型詐欺スキームのバリエーションは10年以上実験室で研究されてきたが、現実世界で大規模に実行するのは非現実的であることが証明されている」と彼らは付け加えた。

欠陥はどのように機能するのでしょうか?

責任を取る

非接触型詐欺は「現実的ではない」

関連記事

EU、統合部隊とAI対応サイバーシールドの計画を含む新たなサイバーセキュリティ戦略を発表

月食「ブラッドムーン」は間もなく開催され、2021年まで最後となります

南極、ガラパゴス、そしてその先: クルーズでアクセスできる人里離れた 5 つの目的地

中国、北朝鮮、ロシア間の協力により脅かされた太平洋は、米国司令官が言う

ピーター・Ｒ・デ・フリーズ氏：オランダ人犯罪記者殺害でさらに多くの容疑者を逮捕

国民集会のマリーヌ・ルペン氏、2022年の違法選挙資金提供容疑で捜査