非接触型クレジットカードで多額の不正決済、英研究チームが問題指摘

[ITmedia]

　英ニューキャッスル大学の研究チームが、Visaの非接触型クレジットカードで暗証番号を入力することなく高額の決済ができてしまう問題を発見したと発表した。

　問題が指摘されたのは、ICカードの国際共通規格「EMV」（Europay、MasterCard、Visa）を使ったVisaの非接触カード。VISAは米国でもEMVの導入を促進する計画を発表している。

　英国では不正使用を防ぐため、同カードを使って非接触方式で決済できる金額の上限は20ポンドと定められている。ところがポンド以外の通貨で決済すれば、この制限をかわして「999,999.99」までの金額の決済ができてしまうという。

　研究チームでは、財布ごしにカード情報を読み取ることができるPOS端末をスマートフォン上に設定した。これを使えば「他人のポケットに自分の携帯電話を当てたり、テーブル上に置かれた財布にスマートフォンをかざしたりするだけで決済が承認される」といい、実験では1秒足らずで決済が承認されたとしている。

　クレジットカードが持ち主のポケットやバッグに入った状態でも決済は可能で、「全てのチェックは端末上ではなくカード上で行われるため、決済の時点で不審は検出されない」と研究チームは解説。脆弱性は決済プロトコルに存在し、犯罪集団などに悪用される恐れもあると警告している。

　米セキュリティ機関のSANS Internet Storm Centerによれば、Visaはこの研究について「研究室の外では再現できない」と反論している。しかしSANSでは、「セキュリティエンジニアリングの歴史では、そうした主張が数日ともたないケースがあまりに多い」と指摘した。