Sponsored Contents

最新記事

Image credit:
Save

カード決済サービス Square でスキミング実現デモ

Haruka Ueda
2011年8月8日, 午後01:00 in Aperture Labs
3シェア
0
3
0
0


paypay


pr


paypay

連載

注目記事


iPhone や Android にドングルを取り付けて利用するクレジットカード決済サービス Square は、はじめ Twitter 共同創業者の Jack Dorsey 氏が手がけたことで話題となり、そのあとも決済の手軽さゆえ徐々に米国で人気を集めつつあります。しかし、専門家によれば Square にはセキュリティ面で懸念があるとのこと。実際、セキュリティカンファレンス Black Hat では、Squareを悪用するデモが披露されました。研究成果を発表したのは、その名も Aperture Labs という英国のセキュリティ調査会社で働く、Adam Laurie氏とZac Franken氏。すばらしい銃は開発していないはずです。

Laurie氏らが紹介したデモはふたつ。ひとつめは、クレジットカードを使わずに Square の決済を利用する方法です。Square ではスキャンしたカードのデータを音声化し、iPhone / Android のヘッドホン端子経由で端末内アプリへと送信しますが、Laurie氏らはドングルを使わず、カードの磁気データから音声へ直接変換することに成功しました。これにより、たとえば盗難されたクレジットカードの情報を利用して、本来はカードがなければ利用できないはずの Square で決済を行えてしまいます。

また、もうひとつのデモはその反対で、Square リーダーで音声化されたデータを変換し、クレジットカード情報に復元するというもの。問題は音声化されたデータに暗号化が施されていないことで、このままでは Square のドングルがスキミングに活用されてしまいます。

こうした手法について、Laurie氏らはすでに2月時点で Square へ報告を行ったとのこと。しかし同社は、カード詐欺には他にもっと簡単な方法があり、実際の詐欺については利用履歴などから検出できるため、こうした手法を大きな脅威とは考えていないようだと、Laurie氏は説明しています。もっとも、暗号化に対応した新ドングルを同社が開発中らしいとも聞いているそう。たしかにスキミング用の機器や、それを活用した詐欺の手法については他にもありますが、Squareという手軽な決済サービスの普及が、カード詐欺までも手軽にしてしまうという事態は避けて欲しいものです。



無料イベントの参加者、フリマ出店者 募集中



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

3シェア
0
3
0
0

Sponsored Contents