タッチするだけで支払いができる非接触決済型のクレジットカードを利用する方も多いだろう。こうしたカードは、一定の金額を超える決済ではPINコードの入力が求められ、安全と思われがちだ。
ところが、スイス連邦工科大学チューリッヒ校(ETHチューリッヒ)の研究者が、このセキュリティを破ることに成功。Androidアプリを利用した手法で、タッチ決済におけるセキュリティの抜け穴を実証している。
Visaの発行するクレジットカード/デビットカードのみの脆弱性
研究者の開発した手法は、ユーロペイ、Mastercard、Visaによって作成されたクレジットカードの標準規格「EMV」の脆弱性をついたものだ。Mastercard、AmericanExpress、JCBなど世界で90億枚以上のカードがこの企画を採用しているとのこと。ただし、同手法が通用するのはVisaの発行するクレジットカード/デビットカードのみだという。
そして、この手法の実行には少々複雑な手続きを要する。まず、2台のNFC対応Androidスマホに研究者の開発したアプリをインストール。アプリインストールは特別な迂回策をほどこさなくても可能なようだ。
決済端末の次期ソフトウェアアップデートで対応
1台のAndroidスマホでクレジットカードからデータを読み取る。そのデータはもう1台の端末に転送。この端末でタッチすると、決済端末は不正を検知することなく支払いができてしまう。さらには、一定金額を超えてもPINコードの入力が要求されないようだ(デモは動画で視聴可能)。
研究者は、さまざまな国で発行されたクレジットカード/デビットカードでこの手法が機能することを示した。
この脆弱性はすでにVisaに報告済み。解決策も提案しているとのこと。決済端末の次期ソフトウェアアップデートで対応できるとのことで、Visaカードユーザーは特に影響なさそうだ。
参照元:Outsmarting the PIN code/ ETH Zurich
- Original:https://techable.jp/archives/136828
- Source:Techable(テッカブル) -海外・国内のネットベンチャー系ニュースサイト
- Author:YamadaYoji