iPhoneには「認証なしでApple Payでの支払いが可能になる脆弱性が存在する」とセキュリティ研究者が指摘
非接触型決済サービスのApple Payは、iPhoneやApple Watchで手軽に支払いが可能になる機能です。Apple Payでは基本的に支払い時にはFace IDやTouch IDでロックを解除することで、「端末の持ち主が支払いを行っていること」を示す必要があります。しかし、一部の交通機関などでは端末のロックを解除したり特定のアプリを開いたりすることなく、運賃の支払いが可能です。この機能に存在する脆弱性を利用することで、認証なしでApple Payの支払いが可能になるとセキュリティ研究者が警告しています。
Practical EMV Relay Protection
https://practical_emv.gitlab.io/
Apple Pay with Visa Hacked to Make Payments via Unlocked iPhones | Threatpost
https://threatpost.com/apple-pay-visa-hacked-unlocked-iphones/175229/
Researchers discover security flaw with Apple Pay and Visa
https://www.siliconrepublic.com/enterprise/apple-pay-visa-contactless-hack-iphone
Apple Pay with VISA lets hackers force payments on locked iPhones
https://www.bleepingcomputer.com/news/security/apple-pay-with-visa-lets-hackers-force-payments-on-locked-iphones/
「認証なしでApple Payでの支払いが可能になる脆弱性」について報告したのは、イギリスの国家サイバーセキュリティセンター(NCSC)が支援するバーミンガム大学とサリー大学の研究チーム。同研究チームによると、AppleがiPhoneやApple Watch向けに提供している非接触型決済サービスのApple Payと、クレジットカード会社・Visaのシステムの両方に存在する脆弱性を利用することで、認証なしでApple Payでの支払いが可能になるとのこと。
研究チームによると、認証なしでApple Payでの支払いを行うのに必要な条件は、端末のスリープを解除したりロックを解除したりアプリを開いたりする手間なく電車などの交通機関で運賃の支払いが可能になる「エクスプレスカード」が有効になっていることのみです。Apple Payではエクスプレスカードが有効になっているか否かをカード取引修飾子(CTQ)で判別するのですが、このCTQを変更できてしまうため、交通機関などを利用している場合でなくとも「認証なしでApple Payでの支払いが可能になってしまう」というわけです。
このエクスプレスカードをVisaのクレジットカードで利用している場合、非標準のバイトシーケンスを送信するカードリーダーを使用することでCTQを変更することが可能。これにより、認証なしでの支払いが可能となってしまうとのこと。同研究に携わったケン・マンロ氏は、「論理的には地下鉄などに乗っている乗客のポケットに入っているiPhoneに、非接触型の決済マシンを近づけるだけで金銭を盗むことが可能になる」と指摘しています。
攻撃に必要なのは、決済リーダーであるICクレジットカード(EMV)対応リーダー(右から1番目)と、EMV対応リーダーと通信するためのNFCチップを搭載したAndroidスマートフォンなどの端末(右から2番目)、そしてエクスプレスカードが利用可能な端末であるとiPhoneに誤認させるためのProxmark端末(左から2番目)の3つ。
以下の画像をクリックすると再生される動画の中で、iPhoneから交通機関ではないEuropay、MasterCard、Visaといったクレジットカードリーダーに、1000ポンド(約15万円)を送金する様子が確認できます。研究チームによると、支払いに制限はないとのこと。
研究チームはこの攻撃方法について、「典型的な中間者攻撃であり、ProxmarkがiPhoneに『魔法のバイト』を送信することで、支払いを『エクスプレスカード』によるものと信じ込ませ、認証なしでの支払いを承認してしまうわけです」と記しています。
なお、研究チームは2020年10月と2021年5月の2度にわたりAppleとVisaに対して問題を報告していますが、記事作成時点で脆弱性は修正されていません。これについてAppleは「Visaシステム上の懸念」と指摘しており、Visaは「Apple Payの支払いシステムは安全であり、実際の攻撃にこの脆弱性を利用することは難しいだろう」と述べています。
実際、この脆弱性を利用した攻撃を行うには、上記の前提条件よりも複雑な要素が求められると研究チームも記しています。その「複数な要素」のひとつとして、「いくつかのビットを変更することでオフラインデータ認証を有効にする」ことが挙げられています。
・関連記事
iPhoneやApple Watchで運転免許証や身分証明書が提示できるようになる地域が発表される - GIGAZINE
Apple Payで購入したものを分割払いに変更できる「Apple Pay Later」が計画中 - GIGAZINE
Appleに対して「App StoreとApple Payが独占禁止法に違反している」として欧州委員会が調査を開始 - GIGAZINE
Apple Payは全クレジット決済の10分1を占めるまでに成長するという指摘 - GIGAZINE
Apple Payが始まってみてわかった気をつけることなどまとめ - GIGAZINE
・関連コンテンツ