携帯電話やカードによる非接触型支払いは非常に便利であるだけでなく、ほぼ安全であるとも考えられています。ただし、後者は変更される可能性があります。チューリッヒにあるスイス連邦工科大学(ETH)のチームは、この手法の評判を落とす可能性のあるセキュリティ上の欠陥を発見した。
非接触型決済: セキュリティギャップが懸念される
特定のメカニズムは、実際にはメソッドの悪用を防ぐことを目的としています。そのうちの 1 つは、設定された限度額を超えてカードが引き出されるのを防ぎます。しかし、ETH の研究者たちは、セキュリティのギャップを利用して、まさにこのメカニズムを回避することに成功しました。彼らの解決策は、指定された金額を大幅に超えているにもかかわらず、PIN の入力が不要であると端末に信じ込ませました。
この攻撃は、いわゆる「中間者」(MITM)に基づいています。端末とカードの間を接続し、非接触決済中の取引を操作できるようにします。これは明らかに埋めるのが難しい安全保障上のギャップによって可能になっています。
顧客は銀行による間違いに対して責任を負います
ハイセ・オンラインはチューリヒ工科大学チームの発言として「我々の攻撃は、PINがVisaの非接触型決済方法では役に立たないことを示している」と伝えた。 「したがって、我々の見解では、そのような取引において責任を銀行から顧客や販売者に転嫁することは不当である。このような不正取引に対して責任を負うべきは銀行、EMVCo、Visa [..]であり、顧客や販売者ではない。」
非接触型決済は日常生活に欠かせないものになりつつあるだけでなく、憂慮すべきリスクも伴います。しかし、銀行はこの支払い方法以外のセキュリティ上のギャップにも苦戦しなければなりません。これは、顧客が最大 1,000 米ドルまで無料で引き出すことができるサンタンデール銀行の ATMによって最近実証されました。