Appleは2014年10月20日(現地時間)から、新しいモバイル決済システム「Apple Pay」のサービス提供をアメリカ国内で開始します。Touch IDと連携してタッチ一回だけで簡単にクレジット決済が行えるシステムですが、「一体どれほど安全性が考慮されているのか」ということが、Apple製品のニュースサイトTUAWでまとめられています。

Apple Pay: An in-depth look at what's behind the secure payment system | TUAW: Apple news, reviews and how-tos since 2004

http://www.tuaw.com/2014/10/02/apple-pay-an-in-depth-look-at-whats-behind-the-secure-payment/



Appleのモバイル決済システム「Apple Pay」は、iPhone 6およびiPhone 6 Plusで配布されるiOS 8のソフトウェアアップデートを適用することで利用可能になります。Apple Payは初回アクセス時にiTunesアカウントに登録しているクレジット情報を読み込み、手続きのため暗号化してクレジットカード・ネットワークに送信します。その後クレジット情報が端末やAppleのサーバーに送信されることはありませんが、クレジット情報を保存せずにモバイル決済を可能にする、独自の認証システムである「トークン」が採用されています。



トークンとはApple Pay初回起動時にランダムで生成されるクレジットカード番号の末尾4桁を含む16桁のユニークナンバーのこと。生成されたトークンは端末の「セキュア・エレメント」と呼ばれる安全な場所に保存され、決済時にトークンがクレジット情報の代わりとなり、ICカードの国際基準であるEMV決済が可能になるという仕組み。

トークンの採用によって、決済環境からクレジット情報を除去することができるため、カードスキミングなどのリスクをなくす効果も想定されます。トークンの番号にはクレジット情報に紐付いた本質的情報が含まれていないため、もし有能なハッカーや暗号解読者がトークン番号を入手しても、全く役に立たないとのこと。



By Sean MacEntee

さらにApple Payは、トークンによるクレジットカード情報の復号に必要な「セキュリティコード(CVV)」「デバイスを識別する暗号」を自動生成して、クレジットカード・ネットワークに送信します。トークンは暗号がなければ使うことができず、暗号はトークンが保存されたデバイスを識別するわけです。また、Apple PayはTouch-IDによる指紋認証を行うため、ワンタイムパスワードを設定する必要はありません。複数のセキュリティシステムによって、従来のクレジットカード決済よりも安全な決済システムを実現しているというわけです。

なお、記事執筆時点ではApple Payの日本でのサービス提供は決まっていませんが、モバイル決済に関する連載記事を投稿している、クレジットカード会社の元役員Tom Noyes氏は、「Apple PayはEMV決済をトークン化した世界初のシステムです。私の見解では、Apple Payは世界で最も安全な決済システムです」と、Apple Payの発表後に語っています。TUAWは、「Apple Payが消費者にどのように受け取られるかはまだ未知数ですが、クレジットカードの利用者にとって、より安全な決済システムになるでしょう」と述べています。