アメリカのアップル(Apple)が提供するスマートフォン「iPhone」のタッチ決済機能において、端末のロックを解除せずに高額な決済が行われるおそれがある脆弱性が存在すると、専門家の検証動画を通じて指摘されているということです。一方、グーグル(Google)などが提供する「Android」端末については、この脆弱性の影響を受けないとしています。
タッチ決済は広く普及しており、一般的に安全性が高いとされています。しかし、新たに公開された検証動画では、iPhoneのロックを解除することなく高額な決済を可能にする長年の脆弱性が詳細に解説されています。
この巧妙な手口は、スマートフォンに対して「交通機関の改札システムと通信している」と誤認させるものです。iPhoneやAndroid端末には、通信環境が不安定な地下鉄などでの利用を想定し、端末のロック解除を省略して決済できる特別なモードが搭載されています。
しかし、今回の脆弱性の影響を受けるのはiPhoneのみだということです。
iPhoneに搭載されている「エクスプレスモード」は、交通機関での利用時にロック画面の解除を省略できる機能です。動画によりますと、決済大手ビザ(Visa)のシステムにおける高額決済の処理方法に欠陥があり、交通機関での利用を装った場合、高額な請求であっても不正として検知されないということです。なお、他の決済ブランドではこの問題は発生しないとしています。
この攻撃を実行するには、特殊な機器に加えて、システム権限を不正に取得したAndroid端末をカードの読み取り機として機能させる必要があります。
アップルは、この問題の根本的な原因はビザのシステムにあると指摘しています。一方、ビザは、現実の環境でこのような攻撃が発生する可能性は極めて低いとしたうえで、万が一被害に遭った場合は不正利用を補償する制度の対象になるとしています。両社は2021年からこの脆弱性を認識していたということです。
現在のところ、Android端末はこの特定の攻撃に対して脆弱ではないということです。
韓国のサムスン(Samsung)の端末では、交通機関モードを通じた高額決済に対して警告を出す仕組みが導入されています。また、グーグルはさらに強固なセキュリティ対策を講じています。「Googleウォレット」では、端末がロックされた状態でも決済が可能ですが、画面が点灯している必要があります。さらにグーグルは、決済時以外でも生体認証を求めるなど、アプリのセキュリティ強化を継続して進める方針です。