セキュリティ

「Apple Pay」はセキュリティやプライバシーの面で他のデジタルウォレットより優れているのか?


Apple PayはAppleが提供する決済プラットフォームおよびモバイルウォレットであり、クレジットカードや電子マネーを事前に設定しておくことで、iPhoneやApple Watchを端末にかざすだけで支払いが可能です。そんなApple Payは、端末にクレジットカード番号を保存しないので安全だといわれることがありますが、本当にApple Payはセキュリティやプライバシーの面でクレジットカードや他の決済方法より優れているのかについて、UI/UXデザイナーでYouTuberでもあるマット・ビルヒラー氏が解説しています。

Digital wallets and the “only Apple Pay does this” mythology
https://birchtree.me/blog/digital-wallets-and-the-only-apple-pay-does-this-mythology/


Apple愛好家のジョン・グルーバー氏は自身のブログで、「ウォレット経由のApple Payは、小売業者が顧客を追跡するとして悪名高い実際のクレジットカード番号を難読化します。クレジットカード自体を使うよりもはるかにプライベートです。銀行やクレジットカード会社が近距離無線通信(NFC)によるタッチ決済へのアクセスを与えられた場合、自らクレジットカード番号を難読化するとは思えません」と記しています。

これに対しビルヒラー氏は、この文脈における「難読化」はApple Payが実際のクレジットカード番号である「Funding Primary Account Number(FPAN)」ではなく、決済用のトークンである「Device Primary Account Number(DPAN)」を使っていることを指していると指摘しています。


DPANはIPアドレスに対応するドメインのようなものであり、Apple Payは端末の中に実際のクレジットカード番号を保存するのではなく、カード番号の代替となるDPANを使用して決済を行っています。DPANはデバイスとカードの組み合わせごとに発効されるため、同じクレジットカードであってもiPhoneとApple Watchでは使用するDPANが異なります。これにより、たとえApple Payを使用する端末からDPANが流出しても、盗んだ犯人がDPANを利用した決済を行うことはできません。そのため、Apple Payは実際のクレジットカードより安全といわれているというわけです。

ところが、DPANを使用しているのはApple Payに限った話ではなく、世界中のデジタルウォレットの標準機能だとビルヒラー氏は指摘。Google PaySamsung Payもまったく同じことを行っており、特にApple Payだけが優れているとはいえないとのこと。クレジットカード番号を悪用する意図を持たないほとんどの販売者にとって、「顧客の本当のクレジットカード番号を取り扱う」ことはリスクでしかなく、DPANを用いた決済処理の方が優れているという事情もあります。

また、グルーバー氏は銀行はDPANを使いたがらないだろうと主張していますが、実際のところデジタルウォレットを提供する銀行のほとんどがDPANを使用し、ユーザーのクレジットカード番号を保護しているそうです。実際に、大手銀行のJPモルガン・チェースやバンク・オブ・アメリカなどが立ち上げたモバイルウォレットの「Paze」はDPANを使用しており、「実際のカード番号を加盟店と共有しない」ことを売りにしています。


Apple Payの利点として、「DPANが加盟店ごとに変わる」という点が挙げられることもあります。これにより、データブローカーがさまざまな加盟店の取引データを入手し、DPANを照合して特定ユーザーのショッピングトレンドを把握するのを妨げます。しかし、同じ加盟店での取引では継続して同じDPANが使われるため、特定の加盟店が過去の取引履歴からユーザーのショッピングトレンドを構築することは可能です。

また、ビルヒラー氏は「Apple Payはユーザーの個人情報を守る」という主張をたまに見かけるものの、これは真実ではないと指摘。ビルヒラー氏は、実際に所有しているテスト用の販売者アカウントを使用してApple Pay決済を実行し、販売者にどのような個人情報が渡されるのかをテストしました。

実際に販売者が見ている画面が以下。Apple Pay決済を行うと購入者の国やカードブランド、氏名、住所、メールアドレスといった情報が販売者に提供されるとビルヒラー氏は説明しています。なお、画像の一部にモザイクがかかっているのは、実際の請求先住所やメールアドレスが記載されていたためです。ビルヒラー氏は、「基本的に、決済の際にApple Payカードがポップアップ表示されたら、カード情報のすべてが加盟店に送信されると思ってください。加盟店は収集したい、あるいは収集の必要がある個人情報を選択し、Apple Payは決済時にそれを求めることを妨げません。これは、他のデジタルウォレットの仕組みと同じです」とコメントしました。


Apple Payが他のデジタルウォレットより優れているということはないものの、DPANを使用していることで複数の加盟店にまたがる購買行動の追跡を難しくしており、取引情報が流出した際にクレジットカードが悪用されるリスクを軽減するのは確かだとビルヒラー氏は述べました。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください!Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください!

• Discord | "電子決済はどの決済手段をメインに使ってる?" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1222839228371697664

この記事のタイトルとURLをコピーする

・関連記事
アメリカン・エキスプレスの顧客名・クレジットカード番号・有効期限など会員データが仲介業者から流出 - GIGAZINE

闇サイト「BidenCash」が216万件のクレジットカードを「1周年記念」で無料放出 - GIGAZINE

クレジットカード会社が集めた個人情報が信用情報機関やブローカーを通じて犯罪者に拡散されてしまっているとの指摘 - GIGAZINE

「紙とペン」で169件ものクレジットカード詐欺をはたらいた新聞売りの男 - GIGAZINE

Googleが仮のクレジットカード番号を生成して安全に買い物できるサービス「Virtual Cards」を発表 - GIGAZINE

iPhoneには「認証なしでApple Payでの支払いが可能になる脆弱性が存在する」とセキュリティ研究者が指摘 - GIGAZINE

Appleの新決済システム「Apple Pay」はどれくらい安全なのか? - GIGAZINE

Appleの新決済システム「Apple Pay」の仕組みがよくわかるまとめ&実際に使ってみたよムービー - GIGAZINE

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.