近年は「PayPay」をはじめとしたQRコード決済や、「モバイルSuica」などの電子マネーといったスマホを利用した決済方法が多く登場している。アップルの提供する「Apple Pay」も、そうしたスマホ決済方法のひとつだ。しかしそんなApple Payで「勝手に決済される」という凶悪な脆弱性が放置されている(2021年10月5日現在)ことが大きく報じられている。
今回は、ユーザーの知らぬ間に決済されてしまうとんでもない脆弱性と、そんな危険な脆弱性が放置されている理由についてお伝えしていきたい。
Apple Payを使って勝手に支払いされてしまう脆弱性が話題に
(画像=『オトナライフ』より引用)
Apple Payといえば、ご存じの通りiPhoneやiPad、Apple Watchなどで利用可能なモバイルウォレットだ。Suicaや「PASMO」といった交通系ICカードの電子マネー、クレジットカード、デビットカードなどを登録し、様々なキャッシュレス決済で利用できる。
そして今回報道が相次いでいるApple Payの脆弱性というのが、デバイスをロックしたままでもApple Payが利用可能になる「エクスプレスカード」という機能によるものだという。実は本来、Apple Payはデバイスをアンロックしなくては利用できない。しかしこのエクスプレスカードを有効にしておけば、ロックしたままでもSuica・PASMOを使って改札を通ることができるのだ。
バーミンガム大学とサリー大学の研究チームによれば、この脆弱性は「VISAカードをエクスプレスカードとして設定したiPhoneにおいて、無制限に悪用できてしまう」ものだという。VISAカードとApple Pay両方を組み合わせた場合でのみ発生する脆弱性を突いたものだと伝えられている。さらにこの脆弱性は、その詳細をアップルは2020年10月に、VISAも2021年5月に開示している。いったいなぜ開示しながらも放置されているのだろうか…。
