私はテクノロジー戦争の冷笑的で、ベテランです。1995年に最初の決済システムを実装し、つい数週間前にはオンライン決済代行業者Stripeの優れたインターフェースを使って返金処理をPHPでプログラミングしていました。
しかし、「Apple Payに不正利用の手が伸びる」という見出しのバリエーションを見て、そこに書かれていることは真実ではないと気づきました。Appleは携帯電話に登録されたクレジットカード情報をごくわずかしか保持しておらず、しかもそれを非常に安全に保管しているため、このようなシナリオは極めてありそうにありませんでした。
そして、その通りになりました――そのバナーから始まる記事本文の詳細な説明も含めて。実のところ、この問題はAppleとはほとんど関係がなく、以下に説明するような事態に遭遇した場合に備えて、ご自身を守るためのツールもいくつかあります。
突き進む
金融業界のコンサルタント、チェリアン・アブラハム氏が2週間前に書いたブログで、クライアントや同業他社との継続的なやり取りに基づき、Apple Payが高水準の不正利用に直面していると指摘されました。不正利用率は6%にも達するとのことです。彼の主張を検証したり反証したりすることは不可能ですが、彼の実績は素晴らしいので、それを正しいと受け止めましょう。
カードがApple Payに登録されれば、安全になります。追加するカードが使用許可を得たカードであるかどうかを確認するのは、今のところ銀行の責任です。
しかし、不正行為はApple Pay自体に起きているわけではありません。iPhoneに追加されたカードを銀行がApple Payに登録する際に、その登録を許可する認証プロセスに潜むのです。このプロセスは銀行によって完全に管理されています。Appleはクレジットカード番号、有効期限、その他の情報に加え、複数の信号を銀行に送信し、そのカードの正当な利用者が登録しようとしているかどうかを判断しています。
AppleのiOSセキュリティガイドに記載されている通り:
さらに、リンクとプロビジョニングのプロセスの一環として、Apple は電話番号の下 4 桁、デバイス名、プロビジョニング時のデバイスの緯度と経度 (整数に丸められた値) などのデバイス情報を発行銀行またはネットワークと共有します。
Appleは、カードの写真を撮ると携帯電話で分析され、クレジットカード番号と有効期限が入力されるという仕組みも信号として送信されているのか、また携帯電話ネットワークのIMEI番号のような携帯電話固有の属性も送信されているのかなど、詳細な情報については明らかにしなかった。緯度と経度については、GPS受信機を偽造することは可能だが、詐欺に手を染めるような犯罪者は、そのような面倒な作業を行うための機材や関心を持っているとは考えにくい。彼らは大量詐欺を仕掛けるのだ。
Appleの広報担当者は、自社の立場について次のように声明を発表した。
Apple Payの設定では、銀行がすべてのカードを認証し、Apple Payへのカード追加可否を判断・承認する必要があります。銀行は承認プロセスを常に見直し、改善しており、そのプロセスは銀行によって異なります。
アブラハム氏は自身のブログで、内部情報に基づき、このプロセスについてさらに詳しい情報を提供しています。Appleには「グリーンパス」と「イエローパス」という2つの承認方法があります。Apple IDが最近変更された、または1年間アカウントのアクティビティがないなど、Apple側が提示する複数の指標のいずれかが不適切である場合、Appleは銀行に対し、より厳格な認証基準であるイエローパス方式の採用を義務付けています。アブラハム氏によると、グリーンパス登録者(全体の約60%)の不正利用率は極めて低いとのことです。
Yellow Pathでは、カードがApple Payに正当に追加されていることを確認するために、銀行はより厳格な基準を遵守することが求められます。サービスセンターへの電話による追加情報の取得や、ソーシャルエンジニアリングといった手段も求められます。(4つの銀行で6枚のカードを有効化した経験から、私が経験した遅延は最長でも1日未満です。場合によっては、追加の確認を求められなかったことに驚きました。)
これは、銀行が郵送で物理カードを受け取った場合、他のモバイル決済システムを利用した場合、あるいはApple Payに登録した場合とほぼ同様の、あるいは同一のプロセスです。アブラハム氏はAppleを非難していますが、それは彼の特権です。銀行はカスタマーサービススタッフの増強とトレーニングに十分な時間を与えられていなかったため、担当者が騙されているのは明らかだと述べています。Apple関連のほとんどのケースと同様に、パートナー(携帯電話会社など)は、たとえ需要が高いと予測されていても、需要が低い状況を想定して計画を立てます。iPhoneのアクティベーションサーバーで何度も障害が発生したことを覚えていますか?
はっきりさせておきましょう。この「Apple Pay詐欺」とは:
- iPhoneを危険にさらすことはありません。
- Apple Pay 取引には影響しません。
- iPhone からクレジットカードが抜き取られて他の場所で使用されることを防ぎます。
この詐欺の正体は何でしょうか?それは、銀行のセキュリティ手順の欠陥を利用した個人情報窃盗です。トレーニングやその他のプロセスが改善されれば、すぐに解消されるでしょう。
Apple Payでクレジットカードが不正利用されていることに気付いた場合、そのカード番号が大手(Targetなど)または中小の加盟店から盗まれ、なりすましやソーシャルエンジニアリングによってiPhoneに追加されたことが原因です。Apple Payを一度も使用したことがない人でも、結果としてカードが不正利用される可能性があります。
Apple Payで不正行為を監視する
Apple Payやその他のモバイル決済システムでカードが不正使用されるかどうかは、私たちの管理下にはありません。これは、VisaやAmerican Expressといった大手クレジットカード発行会社が定めた既存の基準を、実店舗だけでなくオンラインストアも含めた小売業者が適切に遵守しているかどうかという点において、現状の問題です。しかし、私たちは自らを過大評価することなく、より一層の警戒を強めることができます。
大手銀行と信用組合はすべてiOSアプリを提供しており、多くの銀行がウェブサイトをますます便利にしています。これらのアプリを使うのにiPhone 6や6 Plusは必要ありませんが、Passbook、Apple Pay、そしてアプリが連携していれば、とてもスムーズに連携します。
iPhone 用の Amex アプリにはオプションが少なく、不正通知を削除できません。
最近、ホテルのポイントが貯まるアメリカン・エキスプレス・カードを購入しました。Apple Payにカードを追加したら、登録確認メールが届きました。その後、アメックスのアプリもインストールしました。このアプリはTouch IDに対応していて、嬉しい特典です。アメックスのウェブサイトで、200ドルを超える請求があった際に通知を受け取るオプションを追加しました。
支払いをするたびにプッシュ通知が表示されます。ウェブサイトで「送信」をクリックし、数秒後にiPhoneのロック画面に確認画面が表示されるのは、むしろ安心感があります。ウェブサイトで不正利用防止のしきい値を設定しているので、「カードを提示しない」という警告メールも届きます。これはすべてのオンライン注文に当てはまります。
Amex の Web サイトにはさまざまなアラートが用意されており、電子メールやテキスト メッセージで配信されます。これらのアラートの一部は iOS の通知としても表示されます。
銀行や信用組合によって対応は異なります。もしあなたの銀行や信用組合が、不審な行動に関するモバイル、プッシュ通知、メールによるアラートを提供していない場合は、しつこく問い合わせ、競合他社Xがそのような通知を提供している理由を説明しましょう。
金融機関は、現在公開していない不正利用の指標の一つ、つまり位置情報を公開すべきです。そして、近いうちに公開する金融機関も出てくるでしょう。カード提示による支出をジオフェンスで囲み、カードが実際に提示されたり、Apple Pay(物理的な存在の形態)経由でそのエリア外で使用されたりした場合は、追加の承認が必要になるように設定できれば、喜んでそうします。同様に、オンラインサイトでの最初の取引も承認してもらいたいと思っています。この2つの対策だけでも、不正利用(銀行と消費者のコスト)と手間(主に消費者の負担)を大幅に削減できるでしょう。
Apple Payでの不正利用は、あなたの責任ではありません。Apple Payでは不正利用は発生しません。iOSとメールを常に監視し、カードの盗難を未然に防ぎましょう。
