Apple 社は先日、新しい iPhone 6 に非接触型の決済サービスが搭載されることを発表し、電子決済市場に参入しました。iPhone の 2 つの新モデルと Apple Watch とともに詳細が発表された Apple Pay は、近距離無線通信(NFC)技術を利用した決済を可能にするものです。
Apple 社は自前の決済インフラを用意するのではなく、Visa、MasterCard、American Express、および複数の大手クレジットカード発行銀行と提携したため、新しい iPhone を使った決済は、既存の決済カードネットワークを介することになります。
ワンタッチ決済 新しい iPhone 6 では、非接触型のリーダーにかざすだけで商品やサービスの代金を支払うことができるようになります。デバイスのロックを解除したりアプリを起動したりする必要はありません。ユーザーが Touch ID 指紋センサーに触れると、リーダーが決済情報とユーザー ID を確認します。
Apple 社によると、実際のクレジットカード番号やデビットカード番号は、決済処理には使われません。代わりに、ユーザーが Apple Pay にカードを追加すると、固有の「デバイスアカウント番号」が iPhone に追加され、専用のチップに安全に保管されます。この番号が Apple 社のサーバーに送信されることはなく、支払い時には、デバイスアカウント番号と決済処理に固有のワンタイムの「動的なセキュリティコード」によって決済処理が行われます。
スマートフォンに非接触型の決済システムと NFC が搭載されるのは目新しいことではありませんが、iPhone に導入されたことで再び注目を浴びる可能性があります。当然、攻撃者の注意も惹きつけるでしょう。米国における最近の大規模なクレジットカード侵害では、カード決済端末が標的となっています。店頭レジ端末(POS)にインストールされたマルウェアによって、顧客の決済カードの詳細が大量に盗み取られたケースもあります。
決済システムのセキュリティは向上するか Gartner 社によると、Apple Pay の登場は、POS の侵害を懸念する小売業者に歓迎されるかもしれません。Apple Pay を使えば、消費者は決済カードデータをスマートフォンに保存する必要はありません。代わりに、商品を購入して支払いを行う際に、カードの発行元からワンタイムトークンがスマートフォンに提供され、決済処理が開始されます。
Gartner 社のアヴィヴァ・リタン(Avivah Litan)氏は、「トークン番号はクレジットカード番号とはみなされないので、実際のクレジットカード番号を受領、保存、転送する必要がなくなれば、小売業者にとってセキュリティ上のメリットは計り知れません。小売業者に対するクレジットカード業界(PCI)コンプライアンス監査の要件はかなり軽減されるでしょう。また、トークン番号は再利用できないので犯罪者はわざわざ盗み取ろうとはせず、そのため小売業者は決済カードデータの侵害を避けられる可能性があります」と述べています。
ただし、Gartner 社によれば、Apple Pay が広く採用されるためにはまだ多くの課題が残っています。おそらく、成否の鍵は、消費者ではなく小売業者が握っています。すでに小売業者が EMV(チップと PIN)端末やポイントツーポイント暗号化(P2PE)に巨額の投資を行っていることを踏まえると、Apple 社は加盟店手数料を下げるなど契約条件を譲歩する必要があるかもしれません。
NFC モバイル決済によって POS の侵害を抑制できる可能性は、他の専門家も指摘しています。Sysnet Global Solutions 社のブランデン・ウィリアムズ(Branden Williams)氏は Forbes に対して、「Apple 社は間違いなくデジタルウォレット界の眠れる獅子なので、小売業者にとって PCI データセキュリティ基準(DSS)の影響が大きく低減する可能性があります。小売業者が NFC P2PE 端末による決済だけを受け付けるようになれば、インフラの大部分が要件から外れ、大きな頭痛の種がなくなるかもしれません」と述べています。
Apple Pay のようなシステムが、POS システムを狙った最近の攻撃を誘発した、いくつかの弱点に対処できるのは間違いありませんが、攻撃者は、ある攻撃手法が使えなくなると常に他の弱点を探し出すので安心はできません。Apple Pay が決済方法として使われ始めたら、攻撃者は NFC 決済回りのセキュリティを徹底的にテストすることでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。