「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表

●デジタルウォレットを介して実際に無料ショッピングをテスト

　研究者らは主要な米国銀行のカードとApple Pay、Google Pay、PayPalなどのウォレットアプリを対象に、認証、取引承認、アクセス制御の脆弱性を調査した。

　まず「Bank of America」と「Chase」のクレジットカードで認証のバイパスを試みた。PayPalとGoogle Payでは請求先住所のみのナレッジベース認証（KBA）を使い、Apple Payでは多要素認証（MFA）、つまり、メールやSMS、電話が提供されていたが、いずれも公開データベースから入手した情報で突破できた。

　次に、攻撃者に盗まれた被害者の「AMEX」とChaseのクレジットカードを用いて、デジタルウォレットでの店頭購入に関する実験を行った。攻撃者はこれらのカードを自身のウォレットに追加し、被害者はカードをロックした。

　銀行はロックされたカードでの支払いを停止すると約束したが、実験結果はこれと異なっていた。攻撃者が店舗（WalmartとTarget）を訪れ、ApplePayやGoogle Payなどのウォレットに保存された被害者のカードで取引を行ったところ、POSが取引を承認し、被害者に金額を請求。この脆弱性は1ドル未満から500ドル以上の幅広い金額で確認され、カードがロックされてから1週間後も同様の結果が得られた。

　研究チームは、被害者の「Citibank」のクレジットカードを使用し、ロックされたカードでの1回限りの取引を可能にする別の方法を実証。攻撃者は、被害者がカードをロックする前にそれを盗み、自身のウォレットに追加した。

　攻撃者はカーレンタルサービス「Turo.com」で車のレンタル支払いを行った。新規顧客として登録し、ウォレットを支払い方法として設定。Turoは支払い方法の詳細を銀行に送信し、攻撃者を登録して定期的な取引を設定した。

　カード登録後、攻撃者は車のレンタルを予約し、被害者のカードで全額支払いを行った。カードがロックされていたにもかかわらず、Turoは1回限りの支払いを定期的な取引としてラベル付けして送信した。

　この脆弱性がTuroに限定されないことを確認するため、apple.comでも攻撃を検証した。同様の手順で、ロックされたカードを使用して25ドルのAppleギフトカードと179ドルのAirPodsの購入に成功した。銀行の受領メールはカードでの定期的な取引を示していた。