Apple Pay:iPhoneからの決済は安全か?

日本時間2014年9月10日、Appleは、新モデルのデバイスをいくつか発表すると同時に、NFCチップ、Touch ID、Passbookを利用する独自の決済システムを発表しました。そこで、システムがどんなふうに機能するのか、セキュリティはどうなのか、見ていこうと思います。

New-iPhone6

2014年9月9日(日本時間9月10日)、Appleは新モデルのデバイスを紹介し、NFCチップとTouch IDとPassbookアプリを利用する新しい決済システムを発表しました。そこで、システムがどんなふうに機能するのか、セキュリティはどうなのか、見ていこうと思います。

米国カリフォルニア州のフリントセンターで開催された100分にもおよぶイベントの中で、Appleは新デバイスをお披露目しました。観客の反応は、いつもどおり3分されました。「Appleはかつてほどの良さがない」「もうそれはAndroidで見た」「おしゃべりはいいから買わせろ!」。自分がどのタイプか、という話は脇へ置いておきます。スクリーンのサイズやAndroidとの「聖戦」よりも、もっともっと面白いトピックがあるのですから。それは、Apple Pay。Appleが開発した新たな決済システムで、開発にはVisa、Master Card、American Expressが関わっています。システムを支えるのはNFCチップ、Touch ID、それからPassbookアプリです。iPhoneがお財布やクレジットカードのようになるわけですが、セキュリティ面は十分考慮されているのでしょうか?

Apple Pay(頭に「i」をつけるのは止めたようですね)は、モバイル決済システムです。取引者本人の身元確認は、複数機能を組み合わせて行います。NFCチップ、Touch ID、Passbookが連携して、お買い物を安全かつスムーズに進めるのです。基調講演を聞いたかぎりでは。

どう機能するのかといえば、PayPassやPayWaveとほぼ同じように機能します。NFCを有効にしたiPhoneをリーダーにしばらくかざし、入金を確認するだけ。クレジットカードの場合はセキュリティコードが必要ですが、Apple Payの場合はTouch IDスキャナー(ホームボタン)にタッチすればよいようです。

Apple Payは安全そうに見えますが、クレジットカード情報を全部iPhoneに保管することは、思わぬ事態を招くかもしれません

使い始めようと思ったら、まずはクレジットカードをiPhoneでスキャンして、カード番号や有効期限などの情報を読み取らせる必要があります。情報はPassbookアプリに保管されます。ここからが、Apply Payの一番面白くて複雑な部分です。支払いの際に使われるのは実際のクレジットカードやデビットカードの情報ではなく、そのときだけ使える「Device Account Number」なのです。この番号は、カード情報を保管しているiPhoneに割り当てられるもので、iPhone 6シリーズとApple Watchに搭載された専用チップの中に安全に(もちろん暗号化されて)保管されます。つまり、実際のカード情報ではなく、特定不可能なコードを使って決済が行われます。

このアプローチの良いところは2つあります。まず、店舗や犯罪者(つまり、転送中のデータを横取りしようとする人)にはクレジットカード/デビットカードの情報が渡らないこと。最悪の場合でも、犯罪者の手に渡るのはDevice Account Numberだけです。もう1つは、Device Account Numberは、それを生成したデバイスから送られたのでなければ使えないこと。デバイスも盗まれたとしても、Touch IDに触れていなければ使えません。また「iPhoneを探す」を利用すれば、iPhoneをロックできますし、カード情報も含めて全データを消去できますから、クレジットカードや銀行口座を止める必要がありません。

しかし、このシステムは本当に安全なのでしょうか?Kaspersky Labのエキスパート、ドミトリー・ベストゥージェフ(Dmitry Bestuzhev)は、問題点があると指摘しました。「Touch IDは、いつも正常に機能するとは限らない。たとえば、指が濡れていては機能しない。そういうことがあるから、Appleはパスコード入力を認めている。これと同じ抜け道が、決済承認プロセスで悪用されるかもしれない。」Apple Watchでは特に追加認証は必要ないことを考えると、デバイスが自分の許可なく使われて銀行口座へのアクセスを許してしまう可能性はあります。

もう1つ懸念があります。カード情報の保存方法についてです。ご存じのとおり、iPhoneに保存されている情報は、信頼済みのiOSデバイス全部に同期可能です。写真やブラウザーのタブ情報に限らず、キーチェーンに保存されているパスワードも含め。クレジットカードやデビットカードの情報も同じように保存されるのであれば、同期を有効にしてあったら、別のiPhoneなどに同期されてしまったら、あなたとあなたのお金にとって嬉しくない事態になるでしょう。攻撃者も同じことができます。Passbookにアクセスしてカード情報を一切合切持って行くでしょう…Appleが、これを防ぐ(少なくとも、困難にする)手立てを講じなければ。いずれにせよ、米国の200,000店舗以上でApple Payが使えるようになる10月には、状況がわかることでしょう。新情報があれば、またご紹介します。引き続きご注目ください。

ヒント