セキュリティジャーナリストBrian Krebs氏のレポートによると、銀行と「Apple Pay」の間の検証プロセスの不備により、ID窃盗犯がオンラインストアからハックしたカード検証値(CVV)を使って、盗んだクレジットカードデータをApple Payモバイルウォレットに関連づけることが可能になるおそれがあるという。
Krebs氏によると、CVVは、これまでオンラインでの不正購入のみに悪用可能だったが、今では実際の店舗内でもサイバー窃盗犯に悪用されるおそれがあるという。Krebs氏が説明するように、CVVを購入したID窃盗犯は、クレジットカード番号と有効期限、セキュリティコード、さらに、氏名や住所といったカード保有者の個人情報のすべてを手に入れることができる。
その後、これらのサイバー犯罪者は盗んだデータを使って、新規の「iTunes」アカウントを取得し、そのiTunesアカウントを使って新規のApple Payアカウントを用意する。
このプロセスは、なぜこんなにも単純なのだろうか。登録プロセスをシームレスにして、普及率を高めるために、Apple Payと銀行の両者がそのように設計したからだ。カード発行会社はApple Payアカウントに「グリーンパス」を与えてさえいた。つまり、Apple Payユーザーが自分のウォレットを使用可能な状態にするのに、「iPhone」に組み込まれている対策以外の追加認証は不要だった。
「Krebs on Security」の見解は以下の通りだ。
Apple Payでは、ハックしたiTunesアカウントとCVVだけを使って、店頭決済方法の利用をオンラインで申し込むことが可能なので、CVVの制限が撤廃される可能性がある。顧客のためにApple Payを有効化している銀行の大半は、顧客に対して、物理的なカードを所有していることの証明をほとんど要求しないからだ。
この全体的なシナリオの責任がどこにあるのかは、もちろん議論の余地があるが、クレジットカード発行会社と銀行、そして、それらの企業がApple Payとクレジットカードの関連性の検証に使用するポリシーの責任の方が大きい、というのが大方の意見だ。
現在、いくつかの銀行は電子メールか電話で承認を要求することで、カード保有者の身元を確認する追加対策を講じているが、サイバー窃盗犯による高度なハックの企てを阻止するのに、それだけでは不十分なことは明白である。
だからと言って、Appleがすべての責任を免れるわけではないし、免れていいはずもない。Apple PayはAppleの製品であり、Appleのロゴを冠しており、使っているのはAppleのファンやマニアだ。
ただし、このシナリオで被害をこうむるのはApple Payのユーザーではない、という点に注意すべきだろう。被害に遭うのは、セキュリティ上の過失や、TargetおよびHome Depotを襲ったような大規模なデータ漏えいによって、自分の機密情報を盗まれた人たちだ。
さらに、Krebs氏の報告では、Apple側に要求を出す姿勢が欠けているとして、カード発行側により大きな責任があるとしている。銀行が透明性やトレーサビリティの向上をAppleに求めていたら、サービス開始時点でもっとセキュアな検証手段を用意できていたかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」