Apple Payは、小売店での商品購入の支払い方法を根本から変える可能性を秘めています。新しいApple Payシステムでは、iTunes Storeアカウントに登録したカードで買い物ができます。iPhone 6をNFC対応決済端末に近づけると、Passbookにカードが表示され、Touch ID指紋リーダーで取引を承認できます。たったこれだけで完了です。クレジットカードの機密情報が販売店に直接送信されることはありません。
近距離無線通信(NFC)は新しい技術ではなく、ハッカーたちはスマートフォンからリーダーに無線送信される信号を盗聴するハードウェアを開発するのに十分な時間を持っていました。私が話を聞いたセキュリティ専門家の中には、これらの既知の脆弱性がApple Payの取引にも当てはまる可能性があると主張する人もいましたが、同時に、Appleが実際のクレジットカード情報ではなく使い捨てトークンを使用しているため、これらのハッキングはかなり無力になると認めていました。
なりすましの仕組み
NFC トランザクションのスプーフィングには、近くの信号を嗅ぎ分けてトランザクション中にデータを盗むダミー リーダー (別のスマート カードやスマートフォンなど) の作成が含まれます。
ATM向け生体認証デバイスを製造するデジタルインフラセキュリティ企業、Hoyos LabsのCEO、ヘクター・ホヨス氏は、ラジオシャックなどで誰でも購入できる市販の無線受信機を使ったNFCハッキングが存在すると述べている。この自作リーダーを使えば、Apple Pay端末の近くにいるハッカーが信号を傍受できる可能性がある。
スクリーンショット Apple CEO ティム・クック氏が、店舗で Apple Pay をサポートする契約を結んだ企業のスライドを披露した。
「無線スニファーは、誰かがすぐ後ろに30~60センチほど離れたところに立っていれば機能する可能性があります」とホヨス氏は言う。彼は、この偽装が、同じくNFCを利用するGoogle Walletが普及しなかった理由の一つだとさえ示唆している。もっとも、Google Walletがこの方法でハッキングされたという動画証拠は知られていない。
他の方法では物理的なアクセスが必要になります。シマンテックのセキュリティテクノロジー&レスポンス(STAR)部門のセキュリティレスポンスマネージャー、サトナム・ナラン氏によると、NFC決済に関連するハッキングは既に知られていますが、ハッカーがまず携帯電話に悪意のあるコードをインストールする必要があるとのことです。
ナラン氏によると、リレー攻撃と呼ばれる既知の脆弱性の一つはスマートカードを利用するものだ。スマートカードとは、基本的にデータを保存し、NFCチップを搭載したクレジットカードのことだ。ハッカーは「プロキシ」カードを作成し、「モール」(本物のカード)からの信号を傍受する。しかし、それでも偽造カードで物理的な盗聴を行う必要があると彼は言う。
ロブ・シュルツ 盗まれたデータはクレジットカード番号に結び付けられず、盗まれた携帯電話は Touch ID 認証を欺かずに Apple Pay に使用することはできません。
別のセキュリティアナリストは、NFCのスプーフィングは可能だと指摘した。WebアプリケーションセキュリティプロバイダーであるContrast SecurityのCTO、ジェフ・ウィリアムズ氏は、Arduinoマイクロコントローラを搭載した広く普及しているリーダーは、1メートル以上離れた場所からNFC信号を傍受できると述べている。また、スマートフォンのNFCを狙った脆弱性が複数発見されているとも述べている。
口座番号ではなくトークン
それでも、たとえハッカーがiPhoneから端末に送信される取引データを盗み取ったとしても、名前を特定できる情報は一切ない使い捨てトークンしか入手できません。それをAppleが安全に保管しているクレジットカード情報と紐付けることは不可能ではないかもしれませんが、私たちが話を聞いた専門家たちは、クレジットカード番号を盗むよりもはるかに難しいという点で意見が一致しています。
ナラン氏は、Apple Payは携帯電話に保存されていないクレジットカード番号を参照するアカウントコードを使用しているため、ハッカーは役に立たないアカウント番号しか入手できないと指摘しています。この「トークン化」は、新しいApple Payシステムの強みの一つであり、ハッカーの侵入を阻止することを目的としています。
Passbook にはカードの画像が表示されますが、実際のカード番号は携帯電話に保存されず、取引中に送信されることもありません。
ウィリアムズ氏も、盗まれたApple Payのデータはおそらく役に立たないだろうという点に同意している。「実際のクレジットカード情報を開示する代わりにワンタイムトークンを使用することで、傍受された信号は攻撃者にとって無意味になる可能性があります。Appleの指紋認証技術Touch IDを使用することで、認証に新たなレイヤーが加わり、攻撃をさらに困難にする可能性があります」と彼は述べている。
ホヨス氏はもう少し確信が持てない。ハッカーが偽造アカウントトークンとAppleの実際のサーバーに保存されているクレジットカードデータを関連付けることが可能だと主張し、iCloudバックアップから有名人の写真が流出した最近の事件を前例として挙げている(しかし、この2つの状況は比較できないし、Appleは過去にクレジットカードアカウントが盗まれたことはない)。ホヨス氏は、指紋のマイラーレプリカを購入し、Touch IDで取引を完了させることも可能だとさえ主張している。しかしもちろん、そのためには携帯電話を盗んで指紋を取得する必要があり、盗んだ相手が「iPhoneを探す」を使ってApple Payデバイスとして無効にすれば、計画全体が台無しになってしまう。
AppleはApple Payのセキュリティに関する問い合わせに対し、公式には回答しなかったものの、トークン化のプロセスを説明したApple Payのオンラインドキュメントを提示した。Apple Payは米国で月曜日にiOS 8.1のリリースと同時に開始される。
