コンビニや駅の改札で、スマホをかざすだけで支払いが完了する「タッチ決済」。もはや現代人の生活に欠かせないインフラですが、その便利さの裏側に「5年間も放置されてきた巨大な穴」があるとしたらどうでしょうか。
科学系YouTubeチャンネル『Veritasium』が公開した検証動画が、テック業界に衝撃を与えています。内容は「ロックされた状態のiPhoneから、1万ドル(約150万円相当)を誰にも気づかれずに引き出せる」というもの。一方で、Android端末はこの攻撃に対して安全であることも判明しました。なぜiPhoneとVisaの組み合わせだけが狙われるのか。その仕組みと対策を解説します。
(ここに画像挿入:ロックされたiPhoneの背面に、攻撃者が小型の通信デバイスを近づけている緊迫感のあるイメージ)
1. 衝撃の実証実験:Face IDもパスコードも不要
この脆弱性は、もともと2021年にバーミンガム大学とサリー大学の研究チームによって発見され、世界最高峰のセキュリティ会議「IEEE Symposium」で論文発表されたものです。
今回の動画では、超大物テックYouTuberのMKBHD(Marques Brownlee)氏が協力。特別な改造を施した決済端末(偽の改札機として機能するデバイス)をiPhoneに近づけるだけで、画面に触れることなく、一瞬で1万ドルの決済が承認される様子を実演しました。
2. なぜ攻撃が成立するのか?「エクスプレスカード」モードの悪用
悪用されたのは、iPhoneの「エクスプレスカード(Express Transit)」設定です。本来は、カバンからiPhoneを出さずに改札をスムーズに通るための利便性機能ですが、ここに「認証の空白」が存在しました。
攻撃のステップ
1.偽装信号の送信: 攻撃者が用意したデバイスが、iPhoneに対して「私は駅の改札機です」という偽の信号を送る。
2.iPhoneの誤認: iPhoneはエクスプレスカード設定に基づき、ロック解除(Face ID等)なしで決済を許可。
3.Visaシステムの欠陥: 通常、高額決済には追加認証が必要ですが、Visaのシステム側が「これは交通機関の利用だから、上限チェックは不要」と判断してスルーしてしまう。
【重要】 この問題は「iPhone × Visaカード」の組み合わせでエクスプレスカード設定をオンにしている場合にのみ発生します。MastercardやAmerican Express、あるいはAndroid端末(Visa利用時)では、この特定の攻撃経路は成立しません。
3. Androidが「安全」である明確な理由
なぜAndroid(Google Pay / Samsung Pay)は大丈夫なのでしょうか。そこにはOSレベルでの「二重の防御壁」がありました。
・Google Walletの仕様: ロック中の決済を許可していても、多くの場合「画面が点灯していること」を条件としています。真っ暗な画面のまま勝手に高額決済が走るのを防ぐ、物理的な障壁となっています。
・Samsung Payの検知能力: 交通系モードを偽装した通信であっても、取引金額が異常に高い場合は即座にフラグを立て、生体認証を要求する独自のチェック機能を備えています。
つまり、Android陣営は「利便性とセキュリティのバランス」をより厳格に管理していたのに対し、AppleとVisaの間には、お互いのシステムを過信した「隙間」が生まれていたのです。
(ここに画像挿入:iPhone(隙間がある壁)とAndroid(多層構造の強固な壁)を比較したセキュリティ構造のインフォグラフィック)
4. 修正されない「5年間の沈黙」——AppleとVisaの主張
驚くべきは、この脆弱性が2021年に指摘されてから2026年の今日まで、根本的な修正が行われていない点です。
・Apple側の主張: 「これはVisaのネットワーク側の問題であり、決済システムを修正すべきだ」
・Visa側の主張: 「攻撃には特殊な機材と技術が必要で、一般家庭や街中で発生する可能性は極めて低い。そもそもルート化したAndroid端末を準備すること自体が困難だ」
両社が責任を押し付け合う「お見合い状態」が続いていますが、Visaが主張する「攻撃の困難さ」は、Proxmarkのようなツールが容易に入手できる現在、説得力を失いつつあります。
5. iPhoneユーザーができる「3つの自衛策」
修正を待つ間、自分の身を守るために以下の設定を確認してください。
1.エクスプレスカードの設定を解除、またはブランド変更: 「設定」>「ウォレットとApple Pay」>「エクスプレスカード」を確認。Visaカードが指定されている場合は、Mastercardに変更するか、オフにすることを推奨します。
2.利用明細のプッシュ通知をオンに: 万が一不正利用された際、即座に気づけるようウォレットアプリの通知を有効にしてください。
3.Visaの補償制度を把握しておく: Visaには「ゼロ・ライアビリティ・ポリシー」があり、不正利用は5営業日以内に補償される原則があります。ただし、報告が遅れると対象外になる可能性があるため、日々のチェックが不可欠です。
6.まとめ
「魔法のように改札を通れる」便利さは、セキュリティを一部バイパスすることで成り立っています。今回の一件は、Appleが誇る強固なエコシステムであっても、決済ネットワークという外部インフラとの接続点には「綻び」が生じ得ることを示しました。
私たちは「100%安全なシステムはない」という前提で、便利さを享受するための最小限の設定見直しを行うべき時期に来ています。
出典:Veritasium 参考:9to5Google, University of Birmingham, MacRumors, Visa Official
