タッチするだけで支払いができる非接触決済型のクレジットカードを利用する方も多いだろう。こうしたカードは、一定の金額を超える決済ではPINコードの入力が求められ、安全と思われがちだ。

ところが、スイス連邦工科大学チューリッヒ校（ETHチューリッヒ）の研究者が、このセキュリティを破ることに成功。Androidアプリを利用した手法で、タッチ決済におけるセキュリティの抜け穴を実証している。

Visaの発行するクレジットカード/デビットカードのみの脆弱性

研究者の開発した手法は、ユーロペイ、Mastercard、Visaによって作成されたクレジットカードの標準規格「EMV」の脆弱性をついたものだ。Mastercard、AmericanExpress、JCBなど世界で90億枚以上のカードがこの企画を採用しているとのこと。ただし、同手法が通用するのはVisaの発行するクレジットカード/デビットカードのみだという。

そして、この手法の実行には少々複雑な手続きを要する。まず、2台のNFC対応Androidスマホに研究者の開発したアプリをインストール。アプリインストールは特別な迂回策をほどこさなくても可能なようだ。

決済端末の次期ソフトウェアアップデートで対応

1台のAndroidスマホでクレジットカードからデータを読み取る。そのデータはもう1台の端末に転送。この端末でタッチすると、決済端末は不正を検知することなく支払いができてしまう。さらには、一定金額を超えてもPINコードの入力が要求されないようだ（デモは動画で視聴可能）。

研究者は、さまざまな国で発行されたクレジットカード/デビットカードでこの手法が機能することを示した。

この脆弱性はすでにVisaに報告済み。解決策も提案しているとのこと。決済端末の次期ソフトウェアアップデートで対応できるとのことで、Visaカードユーザーは特に影響なさそうだ。

参照元：Outsmarting the PIN code/ ETH Zurich