便利なApple Payでもユーザーが用心すべき注意点：ハギーのデジタル道しるべ（2/2 ページ）

[萩原栄幸，ITmedia]

認証ができない（弱い

　それでは、ここから犯罪シーンを想定してみたい。

　例えば、学校で体育の授業があり、教室に着替えやその他の貴重品が放置されている。そこに犯人が来た。犯人は小遣いほしさに、自分のApple Payに他人のSuica（最大8枚）の情報を読み込ませてしまう――。

　重要な点は、被害者が自分のSuicaカードを利用するまで、金銭被害に遭ったことに気が付かないということだ。しかも少額だから、そのまま放置する人がいる可能性も考えられる。ここでの問題は以下の4つになる。

1. 「無記名Suica」ならカード番号の下4桁だけを入力するだけ読み取れてしまうこと（読み込み時間はケースバイケースだが、1分程度で済んでしまうこともあった）。その時点でカードは単なる“ゴミ”になる（チャージなどはできない）
2. 指紋や監視カメラの記録などがなければ、証拠が残らない（可能性が非常に高い）
3. 被害者は盗まれた時点では気が付かない
4. カード8枚まで読み取れる

ただ、Apple payには最大2万円までしか登録できない。考え方次第では「被害金額は少ない」ともいえるが、読者の皆さんはどう感じるだろうか。

改善できるなら？

情報セキュリティの観点からは、認証がない（に等しい）のに資金移動が勝手にでき、かつ、被害者が利用するまで気が付かないということが問題になる。机上の空論かもしれないが、これを改善するなら次の考え方できるだろう。

1. 「無記名Suica」を廃止して、必ず身元確認を行うようにする
2. Suicaカードを改良して“ゴミ”になってしまった場合にその目印を付けられるようにする
3. かつて高額のテレホンカードが廃止されたのと同様に、Suicaのチャージ限度を3000円程度にする
4. Apple Payで読み取る際に大きな音を強制的に鳴らすようにする

　多くの人は「そんなこと、できるわけがない」と思われるだろう。もちろん現実には難しいが、情報セキュリティの観点ではぜひ考えてみたい対策として、ヒントになるのではないかと思う。

　現実的にこのような犯罪に巻き込まれるのを防ぐには、「常にSuicaを持ち歩く」が対策となる。席を外したり、トイレに行ったりする時には特に注意する。

　また、最近ではSuicaのチャージ残高が表示される名刺型のカードケースが販売されている。これにSuicaを入れて一目で残額が分かるようにしておけば、抜き取られたことにもすぐに対応できるだろう（というより、そのようなカードケースに入ったSuicaは狙われないかもしれないが）。

セキュリティにも気を配って便利に、安全に使いたい

　Apple Payのような現代の技術がもたらす利便性などのメリットをより多く享受するためにも、つい見落としがちな情報セキュリティ上のポイントに注意していただければ幸いである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。