ポケットにiPhoneを入れて完全にロックしているのに、誰かが画面に触れたり顔認証を必要とせずに、あなたのデジタルウォレットから数千ドルを引き出せてしまったらどうでしょう?これはSF映画に出てくるような話に聞こえるかもしれませんが、実際に物議を醸した実験で起こったことです。サリー大学とバーミンガム大学のセキュリティ研究者たちは、人気YouTuberのマーカス・ブラウンリー(MKBHD)のiPhoneを標的とした高度な攻撃を行い、ロックされたデバイスからなんと10,000万ドルを引き出すことに成功しました。
高速輸送トリック
人気チャンネル「Veritasium」が取り上げたこの攻撃は、Apple Payのエクスプレス・トランジット・モードの脆弱性を悪用するものです。この機能は、iPhoneのロックを解除したりFace IDを使用したりすることなく、地下鉄やバスの駅で素早く支払いができるように設計されていました。しかし、研究者たちは、実際には偽のカードリーダーにiPhoneをかざしているにもかかわらず、駅の改札口にいるとiPhoneに誤認させる方法を発見しました。
これには、デバイスへの物理的なアクセスと特殊な機器が必要です。ノートパソコンに接続されたNFCリーダーを使用して接続を傍受します。次に、NFCリーダーのIDを正規端末のIDと一致するように変更し、収集した決済データを別のスマートフォン(不正アクセスされたスマートフォン)に送信します。このスマートフォンは正規のカードリーダーの近くに設置され、窃盗が完了します。
なぜVisaカードなのか?
この脆弱性の興味深い点は、iPhoneとVisaカードという非常に特定の組み合わせでのみ機能するということだ。問題はAppleのオペレーティングシステム自体にあるのではなく、Visaのエクスプレス送金処理におけるセキュリティプロトコルにあることが判明した。MastercardやAmerican Expressのカードではこの攻撃は機能しない。これらの企業は異なるセキュリティ方式を採用しており、同じ方法では騙されないからだ。
サムスン製デバイスおよびサムスンペイサービスのユーザーは、この種の攻撃から安全である。このため、従来の取引制限を回避し、1回の取引で数千ドルもの巨額を引き出すことを可能にするこのセキュリティ上の欠陥について、誰が責任を負うべきかを明らかにするのは、VisaとAppleの責任となる。
あなたは自分のお金について心配すべきでしょうか?
この件に関して、アップルは、問題はVisaのシステムに関連するものであり、技術的な複雑さと物理的なアクセスが必要となるため、現実世界でこのような不正行為が発生する可能性は低いと述べた。一方、Visaは、カード保有者は「責任ゼロ」ポリシーによって保護されており、このような不正取引は容易に回収できると強調した。
簡単に言うと、心配する必要はありません。
専門家は、路上でこのような大規模な攻撃を実行するのは極めて困難だと考えているが、これは、どんなに安全な技術であっても、予期せぬ脆弱性が潜んでいる可能性があることを改めて認識させる重要な事例である。心配な場合は、iPhoneの「高速交通機関」でVisaカードを主な決済手段として使用しないか、対応している公共交通機関を利用しない場合は、この機能を無効にするのが最も簡単な対策だ。
動名詞:
5تعليق