昨日のエントリーでは、Apple Payを使った詐欺事件についてお話しました。
Apple Payはセキュリティが高いと思っていたら、実はそうでもないってことが判明しましたよね。
Apple Payのセキュリティが高いのは、Apple Payに登録されたクレジットカードで、買い物をした際のセキュリティが高いという話なんだよね。どのようにセキュリティが高いのかというと、買い物をした際、iPhoneの画面にクレジットカード番号は出てこないし、小売店にもカード情報が残りません。
でもね、Apple Payにクレジットカードを登録する際の「本人確認の仕組み」に、脆弱性があった模様です。
だって、第三者が勝手に、他人のクレジットカーを登録できちゃうんだもん。
色々と調べていくうちにApple Payの「本人確認」のセキュリティが穴だらけということが分かりました。今日のエントリーでは、Apple Payのセキュリティの脆弱性について、皆さんに情報を共有します。
「Apple Payに登録するクレジットカードの名義」と「Apple IDの名義」は違っていても登録できる
Appleに確認したところ、「Apple Payに登録するクレジットカードの名義」と「Apple IDの名義」は違っていても登録できる模様です。
理由は、家族で同じクレジットカードを利用するというケースを想定しているとのこと。
じゃあ、名字が違ったら登録できないのかどうか聞いたところ、名字が違っても登録できるようです。要は、なりすましで第三者が登録できてしまうってことなんだよね。
これじゃ詐欺事件も起こりますわ。
1枚のクレジットカードで、2つのApple Payに登録できるのか?
Appleからの回答によれば、1枚のクレジットカードで、2つのApple Payに登録できるようです。
2つ目のApple Payに登録された場合、元のApple ID宛に、メールなどの連絡は一切来ないようです。
ということは、万が一、Apple Payに登録した自分のクレジットカード情報が流出してしまった場合、悪意を持った第三者に勝手にクレジットカードを登録されても、本人は気が付かないよね。
自分のクレジットカードが、第三者のApple Payに登録されて被害にあったら、どうすればいいのか?
Apple Payには脆弱な部分がたくさんあります。
「Apple Payに登録するクレジットカードの名義」と「Apple IDの名義」は違っていても登録できたり、1枚のクレジットカードで、2つのApple Payに登録できたりするので、自分のクレジットカードが勝手に第三者のApple Payに登録されてしまうリスクは隣り合わせですよね?
このことについてAppleに聞いてみました。
結論を先にいうと、自分のクレジットカードが勝手に第三者のApple Payに登録されて被害にあった場合、クレジットカード会社に連絡を取ってくださいとのことでした。
繰り返します。クレジットカード会社に連絡を取って、対応してもらってくださいとのことです。
あまりにも無責任ですよね?驚きの対応でびっくりしましたわ。
Appleがこの程度の認識だということは、Apple Payを悪用した詐欺事件は、今後も増えていきそうだよね。
クレジットカード会社からの「認証コード」は穴だらけ・・
Apple Payを使うには「認証コード」が必要です。
わたくしもApple Payにクレジットカードを登録した際、クレジットカード会社から電話がかかってきて、本人確認について色々と聞かれました。で、本人確認後に、認証コードが発行されました。
でもね、電話で個人情報を伝えるだけなので、なりすましは簡単にできちゃうと思いますよ。
自分のクレジットカードが流出した・・被害が分かるのはいつ?
自分のクレジットカード情報が流出してしまい、第三者のiPhoneのApple Payにカードが登録されてしまったとします。被害が分かるのはいつなのでしょうか?
クレジットカード会社から連絡がある
普段購入しない海外での取引だったり、高価な商品を購入されたりすると、クレジットカード会社から電話が入ることがあります。
この場合、被害を未然に防ぐことができます。
普段使っているクレジットカードの情報が流出した場合
普段使っているクレジットカードの場合、利用明細を毎月確認することになるので、おかしな請求があれば、利用明細が届いた時点で分かります。
でも、ウェブ明細とかだと、絶対にチェックしないから、おかしな請求があっても気がつかないこともあると思います。銀行口座の通帳を記帳して初めて気がつくとかね。
通帳がないネットバンクだったら、永遠に気がつかないかも。
普段使っていないクレジットカードの情報が流出した場合
これは最悪で、利用明細が郵送で送ってくれるクレジットカード会社だったらいいけど、ウェブ明細のみのクレジットカード会社だと、まず明細なんて見ないので、全然気がつかないということもあるはず。
まとめ
日本でもApple Payを悪用した詐欺被害が出ているので、Appleは一刻も早く対応するべきだと思いませんか?
「Apple Payに登録するクレジットカードの名義」と「Apple IDの名義」は違っていても登録できてしまう仕組みは、早く改善するべきだよね。
ナレッジ