「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表

デジタル決済システムの概要

　米マサチューセッツ大学アマースト校などに所属する研究者らが発表した論文「In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping」は、他人のクレジットカードを用いてデジタルウォレットを介して商品を購入する攻撃を示した研究報告である。

　この脆弱性は、米国の主要銀行（Chase Bank、AMEX、Bank of Americaなど）やApple Pay、Google Pay、PayPalなどの主要なデジタルウォレットに影響を及ぼすものである。

　通常のデジタルウォレットの仕組みは次のようになっている。まず、ユーザーは自分のクレジットカードやデビットカードの番号（プライマリーアカウントナンバー、PAN）をデジタルウォレットに入力する。

　その後、例えば、ナレッジベースの認証（KBA）として郵便番号や社会保障番号の下4桁などの情報を用いて、ユーザーが正当なカード所有者であることを認証する。購入時には、ウォレットがPANを隠し、代わりに「トークン」と呼ばれる一時的な識別子を販売者と共有する。このプロセスにより、販売者にPANを明かすことなく取引が行われる仕組みになっている。

　しかし、研究チームは、悪意を持った第三者がこのシステムを迂回し、他人のクレジットカードで不正な購入を行う方法があることを発見した。最も深刻な問題は、初期認証の脆弱性である。物理的なカード番号を知っている悪意者が、カード所有者になりすますことが可能であり、デジタルウォレットには、カード使用者が本当のカード所有者であるかを十分に認証するメカニズムがないという。

　つまり、カード番号と簡単な個人情報さえ入手できれば、他人のカードを自分のデジタルウォレットに追加できてしまうのである。

　さらに深刻な問題は、カードの盗難が報告された場合の銀行の対応にある。通常、米国銀行は物理的なカードからの取引をブロックするが、デジタルウォレットを介した取引はブロックしないことが判明。銀行は、自社の認証システムが十分に安全であり、攻撃者が他人のカードをウォレットに追加することを防げると考えているが、実際にはそうではないことが研究により明らかになった。

　もう一つの重大な問題は、盗まれたカード番号がデジタルウォレットに一度保存されると、カード所有者がそれを無効化することがほぼ不可能になることである。カードの交換を要求しても、米国銀行はウォレットに保存されているカードを再認証せず、単に仮想番号と新しい物理カード番号のマッピングを変更するだけである。これにより、新しいカードが発行されても、攻撃者は引き続き不正な取引を行うことができてしまう。