非接触型クレジットカードで不正決済が可能に

株式会社Pro-SPIRE エンジニアリングサービス事業部の相川です。

本日は、非接触型クレジットカードの不正読み取り問題についてご紹介します。

非接触型クレジットカードで多額の不正決済、英研究問題チームが指摘
http://www.itmedia.co.jp/news/articles/1411/05/news042.html
※上記のリンクは外部サイトが別ウィンドウで開きます。

NewcastleUniversity - Contactless cards fail to recognise foreign currency
http://www.ncl.ac.uk/press.office/press.release/item/contactless-cards-fail-to-recognise-foreign-currency
※上記のリンクは外部サイトが別ウィンドウで開きます。

英ニューキャッスル大学の研究チームから、非接触型クレジットカードの決済システムにおいて、ある問題が公表されました。
問題としては、Visaの非接触型クレジットカードで、暗証番号を入力することなく高額の決済ができてしまうことが挙げられています。

非接触型クレジットカードとは、外部端末が発信する弱い電波を利用してデータを送受信することができるクレジットカードです。
これを利用した不正決済方法を研究チームは再現、指摘しました。

まず財布越しにカード情報を読み取るPOS端末をスマートフォン上に用意します。
このスマートフォンを使用することにより、次のような行為で不正読み取りが可能になります。

・他人のポケット(クレジットカードが入っている)に自分のスマートフォンを当てる。
・テーブル上に置かれた財布(クレジットカードが入っている)にスマートフォンをかざす。

このどれかを行うことにより、実験ではわずか1秒足らずで決済の承認ができたようです。
決済のチェックは端末上ではなくカード上で行われるようです。
読み取った時点で不審は検出されないといったようになっています。

この脆弱性は決済プロトコルに存在しているようです。
VisaのカードはICカードの国際共通規格「EMV」（EuroPay,MasterCard,Visa）が使われています。
共通規格ということで、他社カードでも不正が悪用されてしまう恐れがあります。

一刻も早い改善と対処が望まれますが、EMV（国際共通規格）も改める必要が出てくるだろうと感じました。

以上、本日のショートトークでした。