以前、iPhoneやiPadを簡単にPOS端末へと変え、場合によってはクレジットカードなしで簡単に決済を行う仕組みを提供する「Square」というサービスを紹介した。だが英国の2人の研究者が示したデモストレーションによれば、悪意のある第三者がこの仕組みを使って簡単にクレジットカードのスキミングを行い、場合によってはカードなしでアカウント上のクレジットを利用することが可能になる恐れがあるという。
同件を現在米ネバダ州ラスベガスで開催中のBlack Hat 2011で発表したのは、英Aperture LabsのAdam Laurie氏とZac Franken氏だ。デモストレーションの詳細はWall Street Journalほか、CNETなどの報道で確認できる。Squareの仕組みはシンプルで、「Square」と呼ばれる四角い形状のカード読み取り機をドングルとしてiPhoneやiPadに装着し、それを専用アプリから呼び出す形で利用する。クレジットカード情報をiOSアプリ上で読み取り、これを利用者が提示するピン番号やサインなどを組み合わせることで、金融機関との決済を完了させる。だがドングルを挿入するインターフェイスがiPhoneやiPadのステレオオーディオジャックであり、ここでの読み取り信号は暗号化されていない。手軽さゆえのトレードオフではあるのだが、そのため、以前よりここがSquareシステムのウィークポイントである点は各方面から指摘されていた。
Laurie氏とFranken氏のデモストレーションはまさにこの弱点を利用したもので、イヤホンジャックからの音声信号を基に簡単にクレジットカード情報を再現できる点を紹介した。両氏が指摘する問題点は主に2つで、1つめはこのデータの解析が用意なため悪意のある第三者が簡単にクレジットカードを複製するシステムが構築可能なこと、2つめはSquareではクレジットカードを物理的に使用しなくても決済が可能なため、これを悪用して好きに決済に利用できるという点だ。磁気カードのスキミング装置は現在でも容易に入手可能だが、Squareを利用することでより簡単で安価にシステム構築が可能になり、スキミングの敷居が下がってしまう。またデモストレーションでは実際にカードなしでSquare上での決済を済ませている様子も紹介され、スキミングに留まらない問題がある可能性を示唆している。
だがWSJによれば、両氏はすでにSquareに数ヶ月前に問題の報告を行っており、現時点での利用に問題はないとSquareが声明を発表しているようだ。またSquare自身も利用が手軽な一方で決済手段としての安全性がトレードオフになっていることはある程度認識しているようで、Squareを通しての決済金額上限が設定されている(60ドルといわれている)。そのため、このシステムを利用しての高額決済は難しく、仮に問題が発生してもユーザーや商店に大きな被害が及ぶ可能性は少ないとみられる。