Apple PayのVISA、勝手に決済される脆弱性

　バーミンガム大学ならびにサリー大学の研究チームは、VISAカードをエクスプレスカードとして設定したiPhoneにおいて、Apple Payのロックをバイパスして、無制限に悪用できてしまう脆弱性を報告し、注意を促している。

　ちなみにこの脆弱性の詳細については、Appleが2020年10月、VISAが2021年5月に開示しており、脆弱性の深刻さを認めているものの、どちらが修正を実装すべきか合意に至っていない状態。研究チームは、逆に被害が拡大する前に脆弱性の詳細を明らかにした格好。

　非接触型決済方法として、Europay、Mastercard、VISA(略してEMV)がある。iPhoneのApple PayはEMVに対応しているが、支払いの際の利便性を高めるために、2019年5月にリリースしたiOS 12.3において、iPhoneをアンロックしなくても支払いできる「エクスプレスカード」機能を実装している。

　もっとも、エクスプレスカードの機能自体は、Suicaなどと同様であるため非接触型決済の弱点の1つとなっている。そのため各国で上限が定められており、一例として日本国内では2万円を上限として設定され、それを超える場合はユーザーが画面を操作して解除する必要がある。

　今回の攻撃は、VISAカードとApple Pay両方を組み合わせた場合でのみ発生する脆弱性を突いたもので、“中継”を行なうことで回避するというもの。具体的には、「Proxmark」と呼ばれるRFIDクローンデバイスでiPhoneのEMVを読み取り、NFC対応のAndroid端末にその情報を転送。そしてAndroid端末をカードエミュレータとして動作させるよう細工し、決済端末ことで決済を行なうというものだ。

　こうした動作を可能にしているのが「オフラインデータ認証」と呼ばれる、トランザクション処理が常にオンラインで行なわれるとは限らないデバイスなどに使用される機能。中継の際にこのオフラインデータ認証機能を使い、その際にカードトランザクション修飾子(CTQ)を変更して、ユーザーがデバイス上で操作を行なって認証したとリーダーを騙すことで、制限以上の金額を決済できる。

　脆弱性はまだ存在しているため、研究チームはVISAをApple Payのエクスプレスカードに設定しないよう注意を促している。なお、この脆弱性はApple PayとMastercardの組み合わせや、Samsung PayとVISAの組み合わせなどでは影響がない。