「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
ITmedia NEWS / 2024年9月2日 8時5分
デジタル決済システムの概要
米マサチューセッツ大学アマースト校などに所属する研究者らが発表した論文「In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping」は、他人のクレジットカードを用いてデジタルウォレットを介して商品を購入する攻撃を示した研究報告である。
この脆弱性は、米国の主要銀行(Chase Bank、AMEX、Bank of Americaなど)やApple Pay、Google Pay、PayPalなどの主要なデジタルウォレットに影響を及ぼすものである。
通常のデジタルウォレットの仕組みは次のようになっている。まず、ユーザーは自分のクレジットカードやデビットカードの番号(プライマリーアカウントナンバー、PAN)をデジタルウォレットに入力する。
その後、例えば、ナレッジベースの認証(KBA)として郵便番号や社会保障番号の下4桁などの情報を用いて、ユーザーが正当なカード所有者であることを認証する。購入時には、ウォレットがPANを隠し、代わりに「トークン」と呼ばれる一時的な識別子を販売者と共有する。このプロセスにより、販売者にPANを明かすことなく取引が行われる仕組みになっている。
しかし、研究チームは、悪意を持った第三者がこのシステムを迂回し、他人のクレジットカードで不正な購入を行う方法があることを発見した。最も深刻な問題は、初期認証の脆弱性である。物理的なカード番号を知っている悪意者が、カード所有者になりすますことが可能であり、デジタルウォレットには、カード使用者が本当のカード所有者であるかを十分に認証するメカニズムがないという。
つまり、カード番号と簡単な個人情報さえ入手できれば、他人のカードを自分のデジタルウォレットに追加できてしまうのである。
さらに深刻な問題は、カードの盗難が報告された場合の銀行の対応にある。通常、米国銀行は物理的なカードからの取引をブロックするが、デジタルウォレットを介した取引はブロックしないことが判明。銀行は、自社の認証システムが十分に安全であり、攻撃者が他人のカードをウォレットに追加することを防げると考えているが、実際にはそうではないことが研究により明らかになった。
もう一つの重大な問題は、盗まれたカード番号がデジタルウォレットに一度保存されると、カード所有者がそれを無効化することがほぼ不可能になることである。カードの交換を要求しても、米国銀行はウォレットに保存されているカードを再認証せず、単に仮想番号と新しい物理カード番号のマッピングを変更するだけである。これにより、新しいカードが発行されても、攻撃者は引き続き不正な取引を行うことができてしまう。
この記事に関連するニュース
-
ジャックスが「Apple Pay」の再設定を要請 Mastercard会員にセキュリティ向上のため
ITmedia Mobile / 2024年9月2日 12時45分
-
Androidユーザーのキャッシュカードを悪用し現金を盗む手口が明らかに
マイナビニュース / 2024年8月24日 9時5分
-
プロサッカー選手・堂安律さん起用の新CM「『Visaでタッチ』を、Apple Payで。」8月19日より配信開始
PR TIMES / 2024年8月19日 10時45分
-
あなたのクレジットカードが狙われる! ウェブスキミングとクレジットマスターとは?
マイナビニュース / 2024年8月13日 11時0分
-
東奔西走キャッシュレス 第59回 クレジットカードの不正利用、フィッシング対策の強化を
マイナビニュース / 2024年8月9日 17時57分
ランキング
-
1「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
ITmedia NEWS / 2024年9月2日 8時5分
-
2覚えておくとApple Watchがちょっと快適になる小ワザ3選|Apple Watch Hacks
&GP / 2024年9月1日 19時0分
-
3noteに「タイムセール機能」 期間限定で値下げ可能に
ITmedia NEWS / 2024年9月2日 10時44分
-
4にじさんじ運営会社、音楽家によるVtuber盗撮疑惑に異例の深夜の声明 契約解除し「刑事事件化も視野」
ねとらぼ / 2024年9月2日 10時35分
-
51000度近いドロドロの溶岩を“巨大な氷”にかけたら…… “意外な勝敗結果”に驚き「まさかの結末」「こういうのが見たかった」
ねとらぼ / 2024年9月2日 8時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください