

最新情報:MTAの脆弱性は解消されましたが、Apple Payの問題は残っています。詳細は記事の末尾をご覧ください。
ニューヨーク市地下鉄の許しがたいセキュリティ上の欠陥が明らかになり、利用者のクレジットカード番号と有効期限を知っている人なら誰でも、過去 7 日間のすべての乗車履歴を追跡できるようになった。
しかし、さらに懸念されるのは、この脆弱性は、Apple Pay を使用して駅に入場する旅程にも当てはまるということです。これは完全に不可能であるはずなのに…
ニューヨーク市地下鉄のApple Pay Express Transit
ほとんどの地下鉄システムは当初、専用の交通カードを必要としていましたが、現在ではほとんどの地下鉄システムが非接触型決済カードも受け入れており、Apple Pay も使用可能になっています。
出入国ゲートの通過プロセスをさらに効率化するために、Apple は後に Apple Pay Express Transit を導入しました。
この機能を有効にすると、通常のApple Pay認証プロセス(iPhoneのFace IDを使用するか、ロック解除済みのApple Watchのサイドボタンを2回押す)は不要になります。代わりに、スマートフォンまたはApple Watchを非接触決済パッドに軽く触れるだけで決済が完了します。
誰かがデバイスを物理的に所有した場合、不正利用される可能性がありますが、取引は監視されており、使用パターンが単一の乗客による通常の使用と一致していることを確認しているため、不正利用のリスクは非常に低いです。使い捨てコードを含む、Apple Payの他のすべてのセキュリティ機能は引き続き適用されます。
ニューヨーク市の地下鉄は2019年5月にApple Pay Express Transitの導入を開始し、2020年末までに全駅で利用可能になった。
ニューヨーク市地下鉄のセキュリティ上の欠陥
ニューヨーク市の地下鉄システムは、メトロポリタン・トランスポーテーション・オーソリティ(MTA)によって運営されています。MTAのウェブサイトではアカウントを開設できますが、乗車記録にアクセスするには認証が必要です。また、カード情報を入力するだけで過去7日間の乗車履歴に即座にアクセスできます。
必要なのはクレジットカード番号と有効期限だけです。CSC、CVC、CCVなどとも呼ばれる3桁または4桁のセキュリティコード(通常はクレジットカードの裏面に記載されています)は必要ありません。つまり、先週の旅行に必要な情報はすべて、ほとんどのクレジットカードの表面に記載されています。
404Media は、ユーザーの許可を得てクレジットカード情報のみを使用してユーザーを追跡し、ニューヨーク市地下鉄のプライバシーの欠陥を確認しました。
今月初めのある土曜日の午後、ターゲットはニューヨークの地下鉄に乗りました。私は、彼がどの駅で、何時に地下鉄に乗ったかを把握していました。そして、数時間後に別の駅に乗ったのです。もしこの人物を監視し続けていたら、彼がよく利用する地下鉄駅、つまり自宅近くの駅を突き止めていたでしょう。また、この人物が毎日何時に地下鉄に乗るかも正確に把握していたでしょう。
この監視の間、私は乗客の近くにはいませんでした。自分の目で見る必要さえありませんでした。私はアパートの中に座り、ニューヨーク市地下鉄を運営するメトロポリタン・トランスポーテーション・オーソリティ(MTA)のウェブサイトの機能を通して、乗客の動きを追っていました。
乗客の同意を得て、私は乗客のクレジットカード情報(犯罪マーケットプレイスで簡単に購入できる、あるいは加害者にとっては簡単に入手できる可能性のある情報)を入力し、MTAの非接触型決済システム「OMNY」のサイトに入力した。数秒後、サイトは乗客の過去7日間の乗車履歴を次々と表示した。それ以外の確認は不要だった。
どういうわけか、Apple Payでの移動も公開されている
Apple Payは、この種の欠陥に対する保護を提供するように設計されています。実際の決済カード情報を決済端末に送信する代わりに、デバイス番号と組み合わせた決済暗号と呼ばれる使い捨てのコードが使用されます。
銀行や金融機関は、アルゴリズムを使用してこれら 2 つの数字を実際のカード口座と照合できますが、Apple も販売業者もお客様の支払いカードの詳細にアクセスすることはできません。
この場合、加盟店はMTAであり、利用者の実際の決済カード番号を見ることはできないはずです。しかし、サイトは、対象の利用者の実際の決済カード番号を入力すると、Apple Payを使ったすべての移動履歴が明らかになることを発見しました。
404 Media は、ユーザーが Apple Pay で支払った場合でも、MTA の乗車履歴機能が引き続き機能することを発見しました。
アップルは404メディアに対し、使用されたカード番号を保存したりアクセスしたりしておらず、交通機関を含む商店に提供することもないと語った。
乗客がApple Payを使用する場合、MTAウェブサイトの機能がどのように機能するかについて説明を求められたが、Appleは回答しなかった。
9to5Macの見解
MTAのセキュリティ上の失敗は許しがたい。認証されていない渡航履歴のリクエストを許可するという、全く愚かな決定だ。記事にもあるように、これはプライバシー保護の重大な失敗であり、ストーカーに簡単に悪用される可能性がある。
しかし、さらに大きな懸念は、Apple Pay が使用される際に実際の支払いカードの詳細が何らかの形で収集されることです。
Apple Payのセキュリティとプライバシーの核となる要件として、加盟店もAppleもユーザーの実際のカード情報を見ることはなく、取引ごとに異なるコードのみを見ることが挙げられます。つまり、例えば企業のデータベースがハッキングされ、クレジットカード情報が盗まれたとしても、Apple Payでの購入に使用できる使い捨てコードとデバイス番号のみが漏洩し、データは無用になるということです。
このテストは、他のシステムでも再現された場合、Apple Payの取引において実際のカード情報が加盟店に送信される可能性があることを示唆しているようです。これは絶対にあり得ないことであり、Appleによる早急な調査が必要です。
更新:9月1日
Engadget は、MTA が認証なしの検索機能を無効にしたと報じています。
「この機能は、OMNYアカウントを作成せずに、有料・無料を問わず、タップ&ゴーの乗車履歴にアクセスしたいお客様を支援するためのものでした」と、MTA広報担当者ユージン・レズニック氏はEngadgetへの声明で述べています。「MTAはお客様のプライバシー保護に継続的に取り組んでおり、そのため、これらのお客様へのサービス提供方法を検討している間、この機能を無効にしました。」
Apple Payの取引で物理的なカード番号がどのように明らかになったのかという疑問は依然として解決されていません。Express Transitは、両端に改札がある地下鉄システムの入退場を追跡するために、ワンタイムコード方式の例外となっているという意見もあります。しかし、この目的であればデバイス番号で十分であるため、この意見は理にかなっていません。
私たちは Apple にコメントを求めており、回答があれば更新します。
写真: MTA/CC2.0
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。