マイク・ピーターソン
· 1分で読めます
クレジット: Apple
英国の研究チームは、Visa カードと Apple Pay に関連するセキュリティ上の問題を発見しました。この問題により、攻撃者がロック画面を回避して不正な支払いを行う可能性があります。
調査によると、この脆弱性はiPhone上でVisaカードをAppleのエクスプレスカード決済モードに設定した場合に発生する。この脆弱性により、攻撃者はiPhoneのロック画面を回避し、パスコードなしで非接触型決済を行うことができる可能性がある。
Apple の Express Transit モードを使用すると、ユーザーはデバイスのロックを解除せずに、クレジットカード、デビットカード、交通カードを使用して交通機関の乗車料金を素早く支払うことができます。
研究者によると、この脆弱性はWalletに保存されているVisaカードにのみ影響する。これは、交通機関の改札口や改札口からiPhoneにApple Payのロックを解除する信号を送る固有のコードに起因している。
研究者たちは、一般的な無線機器を用いて、iPhoneを交通機関の改札口にいると錯覚させる攻撃を実行した。この概念実証攻撃では、Express Transitを有効にしたiPhoneがスマート決済リーダーに不正な支払いを行うという内容だった。同様の攻撃は、固有コードをブロードキャストし、一連の変数を改変することで、実際に発生する可能性がある。
しかし、研究者たちは、この攻撃は大規模には現実的ではないと指摘しています。たとえ攻撃者がこれを実行できたとしても、銀行や金融機関には、疑わしい取引を検知することで詐欺を抑止する他の仕組みが備わっています。
この欠陥は、英国のバーミンガム大学とサリー大学の研究者によって発見されました。2022年のIEEEセキュリティとプライバシーに関するシンポジウムで発表される予定の論文の著者は、アンドレア・イナ・ラドゥ、トム・チョシア、クリストファー・JP・ニュートン、イオアナ・ブーレアヌ、リクン・チェンです。
研究者らは、2020年10月に最初にAppleに、2021年5月にVisaに警告した。
VisaはZDNetへの声明で、この種の攻撃は目新しいものではなく、顧客が心配する必要はほとんどないと述べた。
「非接触型不正利用の手口は10年以上にわたり実験室で研究されてきましたが、現実世界で大規模に実行するのは非現実的であることが証明されています」とクレジットカード会社は述べている。「Visaはあらゆるセキュリティ上の脅威を非常に深刻に受け止めており、エコシステム全体の決済セキュリティ強化に精力的に取り組んでいます。」
