Apple Pay の使用は安全ですか?

Apple Payを使えば、Costaでコーヒーを買ったり、ロンドン地下鉄の改札を開けたり、ナンドスでちょっとしたお会計を済ませたり、iPhoneやApple Watchを通常の非接触型リーダーにタッチするだけで済みます。また、アプリや一部のウェブサイトでは、ダウンロード商品、チケット、配送予定の商品の支払いにも使えます。

端的に言えば、答えはイエスです。Appleは、自社の決済ゲートウェイをPayPalやVisaと同じように捉えてほしいと考えています。結局のところ、Appleが顧客を獲得するには、私たちの信頼を得ることが必要であり、顧客なしでは小売業者から手数料を得ることはできません。

そのため、Appleはセキュリティ強化に多大な時間と費用を費やしてきました。Appleは私たち全員に4桁ではなく6桁のパスコードの使用を促しており、iOSデバイスで決済を承認できるのは、NFC（近距離無線通信）とデバイス固有のセキュアエレメントチップを内蔵しているデバイスのみです。つまり、iPhone 6、6 Plus、iPad Air 2、iPad mini 3、Apple Watch、あるいはそれ以降のデバイスをお持ちでない場合は、アップグレードするか、他の決済方法に頼るしかありません。

Apple Pay を使用すると、カードの詳細が Apple によって共有されることは決してありません。そのため、iPhone、Apple Watch、iPad、Mac で購入することは、実際にはより安全でプライバシーが保護された支払い方法となります。
Apple Pay を設定すると、カード番号は実際にはデバイスや Apple のサーバーに保存されないため、支払い時にカード番号が Apple から販売業者と共有されることはありません。
Appleは取引情報を一切保存していないため、個人を特定することはできません。iPhoneやApple WatchのWalletアプリで最近の購入履歴を確認することはできますが、それ以上はできません。

これは安全で安心な支払い方法ですが、Apple Pay のセキュリティについては以下でさらに詳しく説明します。

Apple Payはどのように機能しますか

Appleは決済システムに関して優れた実績を誇っていることも特筆に値します。大手決済プラットフォームでさえ時折妥協を強いられることはありますが、AppleはiTunes StoreやApp Storeでの購入において顧客の信頼を築き上げてきました。

Appleもセキュリティ問題から逃れられなかったわけではない。最近、iCloudから流出したセレブのヌード写真が原因だとAppleは主張している。（ちなみに、AppleはこれはiCloudのセキュリティシステムの不具合ではなく、パスワードとユーザー名を狙った標的型攻撃によるものだと主張している。）しかし、一部の専門家が流出に対するAppleの当初の対応が鈍い（あるいは被害者を責めている）と感じたとしても、AppleはiOS 8でセキュリティを強化すると断言し、2要素認証の導入や追加のセキュリティ警告の送信など、セキュリティ対策を真剣に取り組んでいる。Appleはセキュリティを真剣に受け止めているのだ。

ちなみに、ティム・クック氏は、Apple Pay が置き換えようとしているシステムは、クレジットカードを紛失したり不正使用されたりしやすいため、それ自体が極めて安全というわけではないと指摘した。

「このプロセス全体は、この小さなプラスチック片に基づいています」と彼は言った。「クレジットカードであれデビットカードであれ、私たちは露出した番号と、時代遅れで脆弱な磁気ストライプに完全に依存しています。ちなみに、磁気ストライプは50年も前のものです。そして、それほど安全ではないセキュリティコードもです。」

この懸念については、別の記事でさらに詳しく取り上げます。Apple Pay によって生じるセキュリティ上の疑問と、Apple Pay のセキュリティ上の長所と短所を以下に示します。

Apple Pay から誰かがあなたのカード詳細を入手する可能性はありますか?

クレジットカード番号は加盟店に渡されるわけではありません。代わりに、デバイス専用のアカウント番号を作成し、それをセキュアエレメントに保存します。「ワンタイム決済番号と動的セキュリティコードを使います」とエディ・キュー氏は言います。

セキュアエレメントとは、iPhone 6とiPhone 6 Plusに内蔵されたチップで、機密データが保存されるハードウェアコンポーネントです。セキュアエレメントとは、スマートカード上の保護されたメモリの総称で、セキュアエレメント上のデータはiOSからもアクセスできません（取引時にランダムコードを介してのみアクセスされます）。ハッカーがあなたのスマートフォンをハッキングしたとしても、クレジットカード情報を入手することはできません。また、誰かがスマートフォンを分解してセキュアエレメント上のデータにアクセスしようとしていることを検知できるようです。

Apple Pay にクレジットカードまたはデビットカードを追加すると、Apple はプロセス全体を最初から最後まで暗号化し、カードの詳細を固有の識別子に包んでからカード運営者に渡します。

利用者の信用度が高いと判断された場合、事業者はiOSデバイスまたはWatchのセキュアエレメントに保存されている認証キーを送り返します。セキュアエレメントは業界標準のチップであるため、技術の維持管理をAppleだけに頼る必要はありません。また、セキュアエレメントはデバイスごとに固有のものであるため、デバイスとアカウントを確実に結び付けることができます。これにより、カード決済事業者は、利用者の情報をネットワーク経由で再度送信したり、小売業者に渡したりすることなく、どの口座から引き落としを行うかを正確に把握できます。

つまり、実際のカード詳細は、iPhone から、または取引中に誰かが盗むことはできません。

街中で Apple Pay を使うのは安全ですか?

つまり、実質的に無意味なデータであるため、取引は転送中も安全ですが、それは方程式の半分に過ぎません。Appleは、デバイスとリーダー間の物理的なやり取りも安全に保つ方法を考案しました。

Apple Payを実際に使用するには、iPhoneまたはApple Watchをお店の非接触型カード端末にかざす必要があります（iPadは店内では使用できません）。Apple Watchの場合は、サイドボタンを2回押して取引を承認します。iPhoneの場合は、パスコードを入力するか、Touch IDで指をスキャンします。

パスコードは 4 桁以上の数字で構成できるようになったため、0000 を含めても 10,000 通りの組み合わせしかない通常の PIN を使用するよりも安全です。

指紋はさらに強力な保護力を持っています。同じループと渦巻きのパターンを持つ二人の人物を見つける確率は約6400万分の1です。つまり、誰かと一致する指紋を持つ人よりも、宝くじに当たる確率は約4倍です。そして、その人に会う確率は…まあ、可能性は低いですし、その人があなたのiPhoneを手に入れる可能性はさらに低いでしょう。

しかし、指紋鑑定は精密な科学ではありません。2014年にデイリー・テレグラフ紙の取材に対し、ロンドン警視庁初の自動指紋検出システムを導入したマイク・シルバーマン氏は、指紋の特定プロセスは私たちが想像する以上に複雑だと説明しました。「たとえ同じ指から直後に採取された2つの指紋であっても、細部に至るまで全く同じ指紋は2つとして存在しません」と彼は言います。「犯罪現場から採取された指紋と被疑者から採取された指紋が同じ指から採取された可能性が高いかどうかを判断するには、専門の鑑定士が必要です。」

このため、専門家が 2 つの異なる指紋が一致すると判定した場合に、不当な判定が出ることがあります。そのため、iOS デバイスによる検出が完全にアルゴリズムによって実行され、熟練した目のスキルに依存しないのは幸運と言えるでしょう。

Apple Payのハッキング対策

Apple Pay はアプリ内で商品やサービスを購入するのにも使えますが、現時点では Web 上では使えません。

取引を完了する前に承認する必要があるという事実と、そのプロセスにカードの詳細が一切含まれないことで、ドライブバイ NFC ハッキングから保護されます。

近距離無線通信（NFC）システムは、非接触型カードリーダーなどの近くのデバイスと迅速かつ容易に接続し、データを共有できるように設計されています。そのため、カードリーダーをポケットにかざすだけで自動的に取引を処理できるのではないかという仮説も浮上しています。NFCベースの交通乗車券はまさにこの仕組みで、PINコードを入力せずにカードをリーダーにタッチするだけでホームゲートを開けることができます。

すべての NFC 対応デバイスのセキュリティを保証することはできませんが、Apple Pay に組み込まれたチェックと制御により、この種の攻撃はほぼ不可能になります。これは、トランザクションを物理的に承認する必要があり、そのためトランザクションが行われていることを認識する必要があるためです。

Apple Pay 取引はどのように承認されますか?

コードまたは指紋が認識されると、Apple Pay はセキュアエレメントからのキー、支払金額、加盟店 ID をカード発行会社に送信します。加盟店 ID は、その店舗に固有の二重チェックであり、支払いを受け取れるのが加盟店だけであることを保証します。

小売店はあなたのカードの詳細を見る必要がなく、Apple も銀行もあなたが何を購入しているかを知ることができないため、取引のどちらの側もそれを知る必要のない相手には秘密にされます。

Watch または iPhone を紛失した場合、誰かが購入することはできますか?

Watch または iOS デバイスを紛失した場合、「iPhone を探す」を使用して紛失モードにすると、セキュアエレメントに保存されているキーが停止され、誰もあなたのアカウントで購入できなくなります。

それでも、詐欺に遭った場合（ほぼ確実に人為的ミスによるものでしょうが）、初期段階で失う金額はせいぜいわずか 30 ポンドです。

携帯電話が盗まれた場合にApple Payを保護する方法

iPhoneを紛失または盗難された場合、「iPhoneを探す」機能を使えば、そのデバイスからのすべての支払いを停止できます。クレジットカードを解約する必要はありません。すでに述べたように、カード番号はデバイスに保存されないためです。これはトークン化の恩恵と言えるでしょう。

ハッカーが iPhone からクレジットカードの詳細を盗む可能性はありますか?

どうやらそうではないようです。セキュリティ対策として、クレジットカード情報はiPhoneにもAppleのサーバーにも実際には保存されません。（ちなみに、Google Walletは仕組みが異なります。Googleはカード情報を自社のサーバーに保管しています。）

Appleによると、決済ネットワークまたは発行銀行は、トークン化と呼ばれる技術を用いてデバイスアカウント番号を提供するとのことです。トークン化とは、機密性の高いデータを、通常は同じ形式のランダムなデータに置き換える技術です。トークン化により、クレジットカード番号を必要とする既存のシステムを更新する必要性が軽減または解消されますが、実際の番号が盗難の危険にさらされることはありません。

しかし、セキュリティについて最後に一言。あるサイトは、Apple Payなどの電子ウォレット技術が、実はクレジットカード詐欺を容易にしているのではないかと指摘しています。犯罪者は、昔ながらの詐欺手法、つまりハッキングされたクレジットカード情報を購入し、それをiPhoneのApple Payシステムに登録することでセキュリティチェックを回避していると報告しています。こうすることで、指紋認証以外の本人確認なしで商品の支払いが可能になります。これは、たとえクレジットカードでなくても、詐欺師のスマートフォンなので問題にはならないでしょう。

もちろん、これはAppleのせいではなく、また新たな問題でもありません。被害者のクレジットカード情報を既に入手している犯罪者にとって、詐欺のプロセスが少しスムーズに進むというだけのことです。詳細はこちらをご覧ください。

Apple Payで不正利用された場合、損失に対する責任は私にありますか？状況は、クレジットカードやデビットカードを単独で使用する場合とほぼ同じです。Appleは加盟店向けガイドで、不正利用に対する責任について説明しています。

「Apple Pay 取引における詐欺行為に対して、私 [販売者] は責任を負うことになりますか?

Apple Payでの取引は、既存のクレジットカードやデビットカードでの取引と同じように扱われます。Apple Payでの取引にも、同じ責任規定が適用されます。

英国の規制では、カード所有者は「不正行為をしていない、または相当の注意を払わずに行動していない（例：PINを書き留めておらず、それを他人に開示していない）」限り、カードの不正使用に対して金銭的な責任を負わないと定められており、これはApple Payにも適用されます。

ちなみに、Apple Payを使ってお店で支払う場合、カードを提示して支払う取引に分類されます。アプリ内でApple Payを使って支払う場合、カードを提示せずに支払う取引に分類されます。これは、何か問題が発生した場合の責任という点で多少の影響を及ぼしますが、いずれにせよ、あなたが支払いを負担すべきではありません。

カード詐欺の責任に関する詳しい情報は、こことここをご覧ください。