マイク・ワーテル
· 2分で読めます
Samsung Pay の従来の POS システム互換モードは安全でない可能性があり、Black Hat カンファレンスでセキュリティ研究者がトークン盗難とリモート使用の脆弱性を実証しました。
セキュリティアナリストのサルバドール・メンドーサ氏がBlack Hatセキュリティカンファレンスで実演したこの潜在的なセキュリティ欠陥は、Samsung Payが既存の磁気ストライプPOS端末で動作するために中核を成す、サムスンの「磁気セキュア伝送」技術に依存しています。Samsung Payを使用して磁気ストライプスキャンをエミュレートするAndroidスマートフォンから通常のPOS端末に送信されるデータは、専用のハードウェアによって短距離で収集可能であるようです。
メンドーサ氏はカンファレンスで、磁気式ハードウェアキャプチャデバイスの概念実証を実演しました。彼が製作したプロトタイプは腕に装着され、傍受したトークンをメールアドレスに転送します。このプロトタイプはPOS端末の中に隠せるほど小型です。
メンドーサ氏と遠隔地にいる同僚が、メキシコに送信された盗まれたトークンから磁気スプーフィングハードウェアを使用して購入を行うというハッキングのデモンストレーションの後、サムスンは非常に短い声明で研究者の主張を否定した。
メンドーサ氏はまた、収集したデータを利用して時間の経過とともに親のクレジットカード番号を推測できるとも主張しているが、その能力は実証していない。
サムスンは火曜日に改めて否定し、トークンを傍受して決済に使用することは可能だが、満たすべき条件は非常に具体的で、巧妙に操作するのは困難だと改めて強調した。Apple Payと同様に、この決済システムで生成されるトークンは使い捨てだ。磁気捕捉の要件に加え、攻撃者は元の取引が完了する前にトークンを使用する必要がある。
ユーザーはSamsung Payの取引について即時通知を受け取るため、不正なトークンの取得と使用をブロックできる。
許可されたユーザーによって直ちに実行されます。
サムスンは、すべての否定にもかかわらず、第三者へのトークン中継につながるスキミング攻撃は「既知の問題」であり、攻撃実行の難しさを考慮すると「許容できる」潜在的リスクであると主張している。
Apple Payをめぐる不正行為は、これまでとは逆の方向へと進んできました。Apple Payは、顧客データが盗まれるのではなく、不正行為の温床となってきたのです。Appleのサービス開始前後には、犯罪者が他の情報漏洩で盗まれたクレジットカード情報を悪用し、店舗での支払いにApple Payに入力していました。
Apple Payには従来のPOS端末との互換性モードがなく、代わりに米国におけるクレジットカード決済端末への移行義務化によって、加盟店の決済受け入れを一部支援しています。さらに、2015年のサービス開始以来、Apple Pay発行銀行によるデータソース認証は厳格化されています。
