スロバキアのセキュリティベンダーであるESETはこのほど、同社のブログにおいて、Appleのモバイル決済サービス「Apple Pay」のセキュリティに関する記事を公開した。記事では、カード情報の格納場所、情報漏洩のリスク、データのプライバシーなどについて説明している。
Apple Payは、iOS 8.1を搭載するiPhone 6、iPhone 6 Plus、iPad Air 2とiPad mini 3で利用できるモバイル決済サービスだ。米国では10月より提供が開始されているが、日本ではまだ利用できない。
モバイル決済サービスで気になるのは、クレジットカードやデビットカードの情報の保存方法だが、Apple Payはユーザーの端末やAppleのサーバにカード情報を保持していないという。ここが、サーバにカード情報を抱えるGoogleのモバイル決済サービス「Googleウォレット」とは異なる点だ。
カード情報は、ユーザーが利用する銀行によって異なるデータとしてトークンに置き換えられるため、Apple Payはデータを危険にさらすことなく、既存の決済システムとシームレスに連携できるという。
また、端末のカメラを用いてクレジットカードを追加する際は、画像はアプリに保存されず、暗号化して送られる。
昨今、大規模な企業による情報漏洩が絶えないが、Apple Payは情報漏洩を防ぐために対策が講じられているという。
例えば、店舗でApple Payをアクティブにするには、Apple Payの専用端末において、手動でカードを選択してPINコードやタッチIDのいずれかを用いて支払いを有効にする必要がある。
支払いの際は、クレジットカードやデビットカード番号ではなく、銀行が生成したデバイス・アカウント番号で処理が行われる。これにより、昨今発生しているPOSレジからの情報漏洩の被害にあうことを免れるというわけだ。
なお、Appleは、2015年初めに発売予定のウェアラブル端末「Apple Watch」でもApple Payが利用できるようにするとしている。ただし、Apple WatchのOSにおいて、PassbookとApple Payがどのような動作をするのか、情報が乏しいという。