「Apple Pay」のセキュリティに思わぬ抜け穴〜なりすまし詐欺の格好の標的に

アップルによる決済サービス「Apple Pay」を狙ったなりすまし詐欺が横行し問題になっているようです。

The Guardianの記事によると、他人になりすまして「Apple Pay」で物品を購入し、それを換金するという手口の詐欺が発生しているとのこと。

Apple Payが利用できかつ高額の商品を扱っているという理由で、あろうことかApple Storeもターゲットになっているようです。

プラスチックのクレジットカードの場合、詐欺による被害は10bps(100ドルあたり0.1ドル=0.1%)以下が相場とされていますが、Apple Payでは最大で600bps(約6%)にも達しているとのこと(Drop Labs)。

最新の技術を投入したApple Payが、ここまで詐欺の被害に合っているのはどういうことでしょうか。

 

Apple Payとは

boa_apple_pay_1

日本ではまだ馴染みのないApple Payについておさらいをしておくと、アップルが昨年10月に開始した決済サービスで、クレジットカードや銀行のデビットカードなどをiPhone(および対応でバイス)に登録することで、店頭でおサイフケータイのようにワンタッチで決済したり、アプリ内で支払いができるようになります。

カード番号は登録時にカード会社によって「トークン」という別の番号に置き換えられ(トークン化)、デバイス内の「セキュアエレメント」に保存。決済時にはカード番号の代わりにトークンが使われます。

トークンはカード会社以外にとっては意味のない番号なので、よくあるオンラインショップのカード情報漏洩などがあっても悪用される心配がありません。

 

思わぬ抜け穴

apple_pay_security_1

完璧とも思えるApple Payのセキュリティですが、詐欺グループは高度なハッキング技術を駆使するまでもなく、ある意味古典的な方法で「他人になりすます」ことに成功したようです。

Apple Payへのカード登録は、まずアップルのサーバーで確認を行い、その後カード会社がアクティベーションする、という2段階のプロセスになっています。詳細は下の記事をどうぞ。

【関連記事】iPhone 6でアップルの決済サービス「Apple Pay」を試してみた

アップルはカード確認の際に、iTunesアカウント等の情報を分析した上で、リクエストの信頼性を「Green Path」「Yellow Path」の2段階に分類。

それを受けたカード会社(米国の場合は主に銀行)は、Greenならそのままアクティベート、Yellowなら本人確認などの更なる認証手続きを経て、アクティベートするという仕組みのようです。

この認証手続きはカード会社によってまちまちで、電話やメールによる本人確認、アプリへのログインもあれば、SSN(社会保障番号)の下4桁というケースもあるとのこと。

つまり、他人のクレジットカード番号・名前・SSNなどがセットであれば、だれでも自分のiPhoneにそのカードを登録できてしまい、本人になりすまして決済が可能になるということです。

この種の情報はたびたび大規模に流出しているので、詐欺グループならば簡単に入手できることは想像に難くありません。

無事アクティベートされてしまえば本人とは見分けがつかないので、Apple Storeでも堂々と買い物ができてしまうわけです。

 

Apple Payの脆弱性ではない

apple_pay_in_japan_00

この抜け穴はApple Payの脆弱性というより、カード会社側の認証システムの甘さを突かれたと言った方が正しいかもしれません。

しかしながら、当初アップルはカード会社側の認証をオプションと説明していたらしく、導入までわずか一ヶ月を切ってから必須事項へと変更。

十分な時間の無いままサービスインしてしまったため、カード会社は認証システムの整備が間に合わなかったという背景があり、アップルの責任でもあるようです(Drop Labs)。

今後カード会社が本人確認を正しく行えるようになれば、この手法による被害は少なくなると思われます。

幸か不幸か、国内でのApple Pay開始の噂は聞こえてこないので、日本で使える頃には解決済みの問題となっているかもしれません。