Apple Payの詐欺を未然に防ぐ方法はあるのか?

2017.08.10
Apple iPhone セキュリティー
伊藤亜津佐
伊藤亜津佐

このブログでは、SEO・Googleマイビジネス・ローカル検索など、Web集客に関する最新情報を配信しています。

伊藤亜津佐をフォローする

Apple Pay

Apple Payで、他人名義のクレジットカードを使って商品を購入する詐欺事件が発生している模様です。

電子決済 本人確認、カード会社任せ アップルペイ詐欺

業界最高水準のセキュリティーを誇るとされる電子決済サービス「アップルペイ」を使った詐欺事件が相次いでいたことが明らかになった。「アップルペイ」で、他人名義のクレジットカード情報を使い、商品を詐取する事件が今年3月、大阪、京都、埼玉の各府県で発生していたことが捜査関係者への取材で分かった。

アップルペイの決済には指紋認証が必要で、登録されたカード情報はその都度暗号化される。スマホの画面にカード番号や有効期限が表示されないだけでなく、小売店にもアップルにもカード情報が一切残らない仕組みだ。このため小売店への不正アクセスなどによる情報流出の恐れは極めて低い。スマホを紛失してもデータは遠隔操作で消去できる。

しかし、カード情報を登録する際の本人確認は、各発行会社に任されている。企業などへのサイバー攻撃やフィッシングで流出したカード情報がいったんスマホに登録されれば、店舗での不正利用を防ぐことは難しくなるのが現状だ。

Apple Payはセキュリティが高いのが売りだったにも関わらず、なんでって感じしませんか?

Apple Payのセキュリティが高いのは、Apple Payに登録されたクレジットカードで、買い物をした際のセキュリティが高いという話なんだよね。どのようにセキュリティが高いのかというと、買い物をした際、iPhoneの画面にクレジットカード番号は出てこないし、小売店にもカード情報が残りません。

でもね、Apple Payにクレジットカードを登録する際の「本人確認の仕組み」に、脆弱性があった模様です。
だって、第三者が勝手に、他人のクレジットカーを登録できちゃうんだもん。

スポンサーリンク

Apple Payの詐欺事件は、いつから発生しているのか?

日本では今年の3月に、初のApple Payの不正利用があったようです。

「アップルペイ」詐欺を全国初摘発 爆買い中国人かと思ったら…埼玉のコンビニでたばこ981カートン詐取 専門家「本人確認甘い」

さいたま地検に詐欺罪で起訴された中国籍の于洋被告(29)の起訴状によると、川口市のコンビニエンスストアで3月26~27日、たばこ981カートン(約445万円分)を詐取したとされる。

県警によると、アップルペイを使った詐欺事件の摘発は全国初。1回の決済上限額は2万円で、被告は中国籍の男女3人と約10時間にわたり、未遂分も含めて決済を704回繰り返していた。対応したコンビニ店長は「爆買いの中国人」と思い不審に感じず、カード会社が県警に相談した。

2台のアイフォーンが使われ、それぞれ神奈川県の30代男性と埼玉県の20代女性のカード情報が登録されていた。何らかの原因で流出した情報が悪用されたとみられる。

↓実は2015年にアメリカで、Apple Payの詐欺事件は起こっている模様。

Apple Payを使った詐欺が横行、予想だにしなかった驚きの手口とは?

横行している詐欺で狙われたのは、カード情報をデバイスに登録する際に銀行やカード会社が行う認証手続きです。認証手続きで「本人確認が必要」と判断された場合の確認方法は、銀行やカード会社によってバラバラで、電話やメールで本人確認をすることもあれば、社会保障番号の下4桁やアプリのログインで確認することもあります。つまり、他人のカード情報や個人情報さえあれば、他人のクレジットカードをデバイスに登録できる可能性があるというわけです。

こうなることは分かっていながら、日本のクレジットカード会社は何の対応も取ってなかったの??

流出したクレジットカードが、他人のApple Payに勝手に登録されるまでの流れ

クレジットカードが、他人のApple Payに登録されるまでの流れを見ていきましょう。

クレジットカード情報が流出

今の時代、クレジットカード情報の流出はいつ起きてもおかしくありません。
クレジットカード情報の流出については、当サイトで何度も取り上げました。

メルカリが個人情報を流出・・・メルカリのセキュリティは大丈夫なのか?
メルカリで54,180名の個人情報が流出しました。 流出した内訳はこんな感じ↓ 名前・住所・メールアドレス・電話番号・・・459名 銀行口座情報、クレジットカードの下4桁と有効期限・・・1855名 購入・出品履歴...
ischool.co.jp
2017.06.23
資生堂の子会社「イプサ」で顧客情報流出・・・クレジットカードが流出したらどう対応する?
資生堂の子会社のイプサの公式サイトに、不正アクセスがあり、クレジットカード情報を含む顧客情報が流出しました。 クレジットカード情報が流出するのは、マジで怖いですよね? 資生堂、顧客情報42万人分流出か 子会社に不正アクセ...
ischool.co.jp
2016.12.03

本人になりすましてApple Payに登録

流出したクレジットカード情報と、住所などの個人情報がセットで流出すると、悪意を持った第三者が、本人になりすましてApple Payに登録できてしまいます。

Apple Payに登録されてしまったら、第三者によってApple Pay経由で商品が購入されても、カードの利用明細が届くまでは、気がつかないよね。

カード会社の本人確認はどうなってる?

Apple Payにクレジットカードに登録するときは、カード会社による本人確認が必要です。

でもね、本人確認の方法については、明確な基準があるわけではなく、カード会社によって異なる模様。

Apple Payに登録するクレジットカードの本人確認は、Appleで明確な基準を作るべし

クレジットカードをApple Payに登録する際、本人確認がクレジットカード会社によって違うというのが、そもそもダメだと思いませんか?

本人確認の方法や認証コードの発行に関しては、Appleで明確な基準を作るべきだよね。

未然に防ぐ方法はあるのか?

Apple Payに他人のクレジットカードが登録されてしまい、不正利用された場合、未然に防ぐ方法はあるのでしょうか?

Appleに問い合わせして確認しましたが、未然に防ぐ方法はないようですwww

残念なことに、複数枚のクレジットカードを持っている人は、カード明細を確認する以外に方法がないんだよね・・・

こんなセキュリティでいいのかなあ、Apple Pay。

「Apple Payに登録するクレジットカードの名義」と「Apple IDの名義」は違っていても登録できる件
昨日のエントリーでは、Apple Payを使った詐欺事件についてお話しました。 Apple Payはセキュリティが高いと思っていたら、実はそうでもないってことが判明しましたよね。 Apple Payのセキュリティが高いのは、...
ischool.co.jp
2017.08.11