スマートフォンを使用して行われるモバイル決済の増加は、減速の兆しを見せていません。 2022年までにモバイル決済は14兆ドルになると推定されています。この傾向に対応するには、クレジットカード会社や銀行、イシュアは、顧客の進化するニーズに合ったソリューションを積極的に提供する必要があります。
「Giant Pays(Google PayやApple Payなど)」をサポートするのではなく、ソリューションを完全にコントロールできるようにするために、プレイヤーが独自でモバイル決済を行うことは有益です。 つまり、ビジネスニーズに合わせて調整し、カード所有者の微妙なニーズを満たすことができます。 また、貴重な顧客データの所有権を保持し、将来の製品およびサービスの開発に活用できます。 イシュアが独自のソリューションを開始できる魅力的なオプションの1つに、ホストカードエミュレーション(HCE)があります。 HCEを使用すると、ソフトウェアを使用してAndroidデバイスをスマートカードにすることができます。トランザクションデータとカードの機密情報は、モバイルデバイス内ではなくクラウド上のサーバーに保存されます。
HCEソリューションは、イシュアがAndroidユーザー向けに費用対効果の高い方法で市場に参入するための優れた選択肢となります。 ただし、複雑さがないわけではありません。 NFCデバイスOS上で走るHCEアプリは、「Giant Pays」よりも脆弱な場合があります。 したがって、これらのソリューションを立ち上げる際には、プレーヤーがアプリケーションのセキュリティについて慎重に考えることが不可欠です。Android決済アプリの半分以上が 3つ未満のセキュリティ機能しか実装しておらず、Androidの最小限のセキュリティ機能だけに頼ることはできません。
多くの場合、最初の防衛線はコードの難読化です。コードの難読化は、データを変更して、ハッカーによる読み取りを防ぎ、データーの有用性をなくします。 これにより、リバースエンジニアリングによってアプリケーションをハッキングし、アプリ内の機密情報にアクセスするために必要な労力が増加します。 次に、ルート検出は、ルートまたはローカルにインストールされたルートツールの検出に役立ち、アプリケーションが不正にアクセスされたデバイスで実行されるのを防ぎます。
改ざん防止およびコード整合性の検知は、プログラムのコードの不正な変更を検出した場合、アプリの実行を停止することでハッカーによる操作または改ざんを困難にします。 セキュリティ・バグの高度化に伴い、デバッグ防止/インスツルメンテーション防止/フック検出もセキュリティの重要なレイヤーです。 デバッグと機能の「フック」を検出します。攻撃者がランタイム動作を監視し、攻撃中にアプリを制御するために使用するデバッグと機能の「フックキング」を検出します。
デバイス・バインディングは、アプリケーションとそのデータが別のデバイスに複製されると適切に機能することを防ぎ、繰り返し認証されることを排除します。 ハードウェアセキュリティの欠如によって引き起こされるセキュリティリスクをさらに最小限に抑えることができるもう1つのセキュリティ・テクノロジは、ホワイトボックス暗号化です。 これにより、鍵がデータとコードの形式で保存されるだけでなく、ランダムなデータとコード自体の構成でキーが難読化されます。 これは、暗号アルゴリズムがわかっていて変更可能であっても、どれが元の鍵であるかを判断することは非常に難しいことを意味します。
支払いトークン化は、支払いのための機密情報を一意のトークンに変換します。このトークンは、ロックを解除できる事前定義された状況が限られているため、データをハッカーにとって役に立たないものにします。 最後に、 ハードウェア保護の使用はHCE展開に必須または標準ではありませんが、一部の実装では現在、Trusted Execution Environment(TEE)テクノロジを利用してセキュリティを追加しています。 TEEは、「信頼できるアプリケーション」自身や、その機密コードおよび暗号化キーを保存するための安全で隔離された環境を提供します。
HCEが魅力的なオプションである理由、実装の課題、およびセキュリティツールを使用した攻撃に対する防御方法の詳細については、
eブックをお読みください。