近年は「PayPay」をはじめとしたQRコード決済や、「モバイルSuica」などの電子マネーといったスマホを利用した決済方法が多く登場している。アップルの提供する「Apple Pay」も、そうしたスマホ決済方法のひとつだ。しかしそんなApple Payで「勝手に決済される」という凶悪な脆弱性が放置されている(2021年10月5日現在)ことが大きく報じられている。
今回は、ユーザーの知らぬ間に決済されてしまうとんでもない脆弱性と、そんな危険な脆弱性が放置されている理由についてお伝えしていきたい。
Apple Payを使って勝手に支払いされてしまう脆弱性が話題に
Apple Payといえば、ご存じの通りiPhoneやiPad、Apple Watchなどで利用可能なモバイルウォレットだ。Suicaや「PASMO」といった交通系ICカードの電子マネー、クレジットカード、デビットカードなどを登録し、様々なキャッシュレス決済で利用できる。
そして今回報道が相次いでいるApple Payの脆弱性というのが、デバイスをロックしたままでもApple Payが利用可能になる「エクスプレスカード」という機能によるものだという。実は本来、Apple Payはデバイスをアンロックしなくては利用できない。しかしこのエクスプレスカードを有効にしておけば、ロックしたままでもSuica・PASMOを使って改札を通ることができるのだ。
バーミンガム大学とサリー大学の研究チームによれば、この脆弱性は「VISAカードをエクスプレスカードとして設定したiPhoneにおいて、無制限に悪用できてしまう」ものだという。VISAカードとApple Pay両方を組み合わせた場合でのみ発生する脆弱性を突いたものだと伝えられている。さらにこの脆弱性は、その詳細をアップルは2020年10月に、VISAも2021年5月に開示している。いったいなぜ開示しながらも放置されているのだろうか…。
実はこの脆弱性が放置されている原因は、「アップルとVISAのどちらが修正するか」が決まっていないせいであると伝えられている。たしかに、VISAとApple Payを組み合わせて使ったときにのみ発生する脆弱性であれば、どちらか一方が対処すれば済むようにも感じられる。そのため遠慮しているのか、単に面倒を押し付け合っているのか。当事者であるアップルは「Visaシステム上の懸念」という姿勢で、VISAも「Apple Payの支払いシステムは安全であり、実際の攻撃にこの脆弱性を利用することは難しいだろう」と楽観視したコメントを出しているという。
しかしアップルといえば、ユーザーのセキュリティの保護に注力する企業という位置づけだ。iPhoneでダウンロードできるアプリを自社の運営するApp Storeでのみダウンロードできるようにしているのも、「ユーザーにアップルのチェックが入った安全なアプリのみを提供するため」だったはずだ。そんなアップルがパートナー企業に責任を押し付けてユーザーの安全を脅かす脆弱性を放置していたとなれば、イメージダウンとなることは間違いないだろう。
とにかく、アップルが対策してくれることが何よりも待ち遠しいが、もし読者の中にApple PayでVISAを使っている人がいたら、一時的にでも設定を解除しておくことが大切になりそうだ。