MENU

\Google ニュースで配信中!/

Google ニュース リンクバナー

iPhone のタッチ決済の脆弱性、Android デバイスは影響を受けないことが判明

Android アプリ
Android アプリ Apple Google Google ウォレット
当サイトは Google Adsense、Amazon アソシエイト等 アフィリエイト広告を利用して収益を得ています.
Advertisement

iPhone のタッチ決済において、デバイスのロックを解除せずに高額な買い物ができてしまう脆弱性が報告されていますが、Android デバイスはこのリスクの影響を受けないことが確認されています。

この問題は、YouTube チャンネルの Veritasium が公開した新しい動画によって詳細が解説されたことで、再び話題になりました。

目次

iPhone のタッチ決済における脆弱性の仕組み

Veritasium の動画では、iPhone と Visa カードの組み合わせにおいて、ロックを解除せずに高額決済が可能になる手法が解説されています。

これは、iPhone のエクスプレスカード (エクスプレスモード) 機能と、Visa 側の決済処理の仕組みを悪用したものです。

通常、交通機関の改札などでは通信状況が不安定な場合があるため、オフラインでも決済ができる特別なモードが用意されており、iPhone のエクスプレスカードも同様にロック画面を解除せずに決済が可能です。

動画内では、専用のハードウェアと root 化された Android デバイスを用いて、iPhone に交通機関の改札であると誤認させ、高額決済の承認を通してしまう様子が実演されています。

Apple と Visa は 2021 年からこの問題を認識していますが、Visa は現実世界でこの攻撃が発生する可能性は低いとし、万が一被害に遭った場合は Visa のゼロライアビリティポリシーで保護されると説明しています。

Android デバイスが影響を受けない理由

このような手口が存在するものの、Android デバイスは異なる仕組みを採用しているため、この問題へのリスクはありません。動画内でも言及されているように、各メーカーや決済アプリは独自のセキュリティ層を設けています。

Google ウォレットの厳格なセキュリティ要件

Google ウォレットの場合、デバイスがロックされた状態での支払いは可能ですが、決済を完了させるには少なくとも画面を点灯させる必要があります。

さらに Google は、決済時以外でも生体認証を必須にするなど、Google ウォレットアプリ自体のセキュリティ強化を進めています。

ユーザーが意図しない状況で、バッグやポケットの中にあるデバイスから勝手に決済されるのを防ぐ仕組みが機能しています。

Samsung デバイスにおける対策

Samsung デバイスにおいても交通機関モードを利用した決済時に実際の金額が検証され、交通費として想定されない高額な請求があった場合は決済が拒否されます。

これにより、今回指摘されたような高額な不正引き出しを防いでいます。

日本独自の FeliCa (Suica など) との違い

ちなみに、日本でもロックを解除せずに改札を通れる「モバイル Suica」や「PASMO」などがありますが、これらは今回の脆弱性とは仕組みが異なります。

日本国内の交通系 IC カードは FeliCa という独自規格を使用しており、今回の動画で指摘されている Visa などのクレジット決済 (NFC Type A/B) のシステムとは動作や通信プロトコルが異なります。

そのため、FeliCa を利用した交通機関のタッチ決済で、今回のような高額決済の不正利用が起きるリスクは現状ありません。

デバイスのセキュリティ設定を確認する方法

Android デバイスは標準で安全な設計となっていますが、設定を見直すことでさらにセキュリティを強化できます。Pixel デバイスなどから、以下の手順で現在の設定を確認してみてください。

交通機関での支払い時の認証設定

Google ウォレットアプリを開き、プロフィールアイコンから [設定] > [本人確認の設定] > [交通機関の支払い] に移動して、[確認が必要です] のトグルをオンにします。

これをオンにすることで、交通機関の支払いでデフォルトのクレジットカードまたはデビットカードを使うときにも本人確認が必要になります。

NFC の使用にロック解除を要求する設定

デバイスの [設定] アプリを開き、[接続設定] > [接続の詳細設定] > [NFC] に移動し、[NFC の使用にロック解除を要求] というトグルスイッチがオンにします。

これがオンであれば、画面がロックされた状態では NFC 通信そのものが機能しないため、意図しない読み取りを確実に防ぐことができます。

まとめ

過去数年にわたって指摘されてきたタッチ決済の脆弱性ですが、これは特定の条件が重なった iPhone においてのみ発生する問題です。

Android デバイスは画面点灯の必須化や決済金額の検証といった対策を講じているほか、日本では FeliCa 規格が主流であるため、影響を受ける心配はほぼありません。

紹介した NFC や Google ウォレットのセキュリティ設定を確認し、デバイスを最新の状態に保つことで、今後も安心してタッチ決済を利用できます。

Advertisement
Android アプリ
Android アプリ Apple Google Google ウォレット

関連記事

HelenTech の最新情報をフォロー

Google News で HelenTech をフォローすると、 最新のニュースやレビューがあなたのフィードに直接届きます。

Google ニュース リンクバナー
尾村 真英
Technical Writer
HelenTech を運営している 尾村 真英 です。これまでに 50 台以上の Chromebook をレビュー しており、主に小規模事業者を対象に Chromebook や Google Workspace の導入・活用支援も行っています。
現在は、Chrome Enterprise 公式ユーザーコミュニティのモデレーターとしても活動し、Professional ChromeOS Administrator 資格を保有しています。
  2. Android
  3. Android アプリ
  4. iPhone のタッチ決済の脆弱性、Android デバイスは影響を受けないことが判明
目次