Apple Payの交通系ICカード決済機能を悪用 ロックされたiPhoneで不正に決済

2021年10月3日 17:07

印刷

記事提供元:スラド

英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事研究成果9to5Mac の記事The Telegraph の記事)。

この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックしたまま店舗での支払いを実行させることが可能になる。

具体的には偽の交通系 IC カード決済端末でターゲットの iPhone に接続し、カードエミュレーターを実行するスマートフォンに通信内容を中継する。あとは EMV 非接触決済端末にスマートフォンのカードエミュレーターを近付ければ、決済が行われて店舗の口座に入金されるという仕組みだ。

この攻撃は Apple Pay と Visa の組み合わせのみで成立し、Apple Pay と Mastercard の組み合わせや、Samsung Pay と Visa の組み合わせでは成立しないとのこと。しかし、Visa と Apple はこの攻撃が現実的なものではなく、不正利用の被害は Visa が補償するため、安全性に問題はないと述べているとのことだ。 

スラドのコメントを読む | アップルセクション | 犯罪 | セキュリティ | ハードウェアハック | アップル | お金 | 交通 | iPhone

 関連ストーリー:
電子マネーのnanacoとWAONが年内にもApple Pay対応へ 2021年08月11日
Apple Payを利用したクレジットカードの不正利用が発覚 2017年09月14日
Apple Payがスタート、影響でモバイルSuicaなどが利用しにくい状況に 2016年10月25日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事