ところが、スイス連邦工科大学チューリッヒ校(ETHチューリッヒ)の研究者が、このセキュリティを破ることに成功。Androidアプリを利用した手法で、タッチ決済におけるセキュリティの抜け穴を実証している。
Visaの発行するクレジットカード/デビットカードのみの脆弱性
研究者の開発した手法は、ユーロペイ、Mastercard、Visaによって作成されたクレジットカードの標準規格「EMV」の脆弱性をついたものだ。Mastercard、AmericanExpress、JCBなど世界で90億枚以上のカードがこの企画を採用しているとのこと。ただし、同手法が通用するのはVisaの発行するクレジットカード/デビットカードのみだという。そして、この手法の実行には少々複雑な手続きを要する。まず、2台のNFC対応Androidスマホに研究者の開発したアプリをインストール。アプリインストールは特別な迂回策をほどこさなくても可能なようだ。
決済端末の次期ソフトウェアアップデートで対応
1台のAndroidスマホでクレジットカードからデータを読み取る。そのデータはもう1台の端末に転送。この端末でタッチすると、決済端末は不正を検知することなく支払いができてしまう。さらには、一定金額を超えてもPINコードの入力が要求されないようだ(デモは動画で視聴可能)。研究者は、さまざまな国で発行されたクレジットカード/デビットカードでこの手法が機能することを示した。
この脆弱性はすでにVisaに報告済み。解決策も提案しているとのこと。決済端末の次期ソフトウェアアップデートで対応できるとのことで、Visaカードユーザーは特に影響なさそうだ。
参照元:Outsmarting the PIN code/ ETH Zurich