Sponsored Contents

androidの最新記事

Image credit:

Androidが犯罪に使われるワケ、NFC決済にセキュリティ脆弱性があるとの報告:モバイル決済最前線

鈴木淳也(Junya Suzuki) , @@j17sf
2016年10月3日, 午前11:45 in Android
703 シェア
104
304
59
9
227

連載

注目記事

人気記事



英BBCの9月28日付の記事が話題になっている。これはAndroidデバイスのNFC機能を使った「タップ&ペイ」における脆弱性により、カード情報が流出している可能性があるというEuropolの報告を紹介したものだ。まだインターネット上ではそれほど拡散していないものの、今後の検証も含めて話題が広がっていくものと考えている。

Europolの最新のレポートでAndroidの脆弱性が報告

Europolは欧州連合(EU)の法規制を司る行政機関で、今回のケースでは主にサイバー犯罪を中心とした被害から欧州市民を守ることを目的とした調査を行っている。BBCの報道は、このEuropolが9月28日に出した最新レポート「The Internet Organised Crime Threat Assessment (IOCTA) 2016」での記述を基にしている。当該のレポートはPDF形式で、Europolのサイトからダウンロード可能だ。


▲Europolがまとめた最新のサイバーセキュリティレポート「IOCTA 2016」 [ph02.png]

問題となる事例はIOCTA 2016のレポートの30ページ目、「Future Threats and Developments」で参照できる。この項目は主に最新トレンドや潜在的脅威をまとめたもので、前半が最新技術を組み合わせたATMの稼働状況と、ICチップ付きカードであるEMV(Europay, MasterCard, Visa)の展開状況に関する説明がまとめられており、後半が今回のトピックとなる「AndroidとNFC」に関する説明だ。丸ごと翻訳すると下記のような内容となる。

----
The possibility of compromising NFC transactions was ex- plored by academia years ago and it appears that fraudsters have finally made progress in the area. Several vendors in the Darknet offer software that uploads compromised card data onto Android phones in order to make payments at any stores accepting NFC payments. Moreover, at least one Member State reports instances of OCGs using contactless cards pur- chased from individuals who then report the card as lost. The OCGs were able to reset the cards once they had reached the purchase limit thereby allowing continued spending.
NFCトランザクションを危険に晒す可能性については数年前から学術研究が進んでおり、サイバー犯罪者らが最終的にこの分野での進展を実現したとみられている。ダークネット(Darknet)内のいくつかの売り手は、NFC決済を受け付けるいかなる小売店での支払いも可能にするような入手したカードデータをAndroid携帯上へとアップロードするソフトウェアの提供を行っている。さらに、少なくともわれわれの組織の1つが、カード紛失を申し出ている個人から入手した非接触カードを使っている犯罪組織(OCG)の事例を報告している。このOCGではカードが購入上限に達した場合に設定をリセットすることが可能であり、さらなる継続購入を可能にしている。

Fraudulent use of NFC payments would have a number of un- expected consequences including the inability of merchants to confiscate the compromised card. Currently, when mer- chants detect a fraudulent transaction they are requested to seize the card. However, the confiscation may not be feasible when the compromised card data are recorded on the buy- er's smartphone.
NFC決済の不正利用は、小売店側が不正なカード利用が発覚してカード提示を求めたとしても、問題のカードを没収できないがゆえに予測できない問題を大量に抱えている。一方で、これら不正なカードデータが購入者のスマートフォン上に書き込まれていたとしても、実際の没収は行えないという問題もある。
----


ここでのポイントは3つある。「AndroidのNFC決済に何らかの脆弱性がある可能性」「AndroidのNFC決済はサードパーティ製アプリによっても行われる可能性」「もしカードの不正利用が発覚しても店舗側にそれを摘発する手段がないという法的問題」の3つだ。少し順番に見ていこう。

Android自体のNFC決済の脆弱性(の可能性)

BBCが紹介しているのは昨年2015年夏に出された「Practical Experiences on NFC Relay Attacks with Android」という論文の例だ。本来はNFC決済で利用されるEMV Contactlessは暗号化された状態で通信が行われており、カード情報などを盗み見ることは難しい。ところが「リレー攻撃」と呼ばれる仕掛けを噛ませることで、両者の通信に仲介できるという理論だ。

実際にコードを記述して決済ターミナルの「Ingenico IWL280」と200行ほどのJavaコードを書き込んだ新品のAndroid端末を組み合わせて、この仕組みの実現に成功しているという。対象となるデバイスがAndroidで、さらに悪意のあるコードがアプリストアなどを経由して組み込まれた場合に限定されるものの、ボットネットを介して通信が適時傍受される可能性を指摘している。

今後の検証待ちではあるが、先ほどのIOCTA 2016と合わせてこれにはいくつか気になる部分がある。例えば、Android Payで利用されるHCEは実データではなく、一時的に発行された「トークン」であり、これを奪取したとしても利用に制限がある。購入上限に達した場合に"リセット"が可能であるとしているが、これはトークンの再発行のことを指しているのか、あるいはトークン発行システムやカード利用の金額上限のことを指しているのかがわからない。ただトークンの性質を考えるに、おそらく前者のことを指していると思われる。だとすれば、無制限にカードを利用されることはなく、バーチャルカードを無効化した時点で被害はストップするはずだ。

Androidが犯罪に使われる理由

BBCのレポートでは、こうした犯罪者はiPhoneよりもAndroidを好む傾向が高いことも指摘している。AppleはiPhoneのNFC機能をサードパーティには開放していないが、Androidでは自由にNFCを利用できるからだ。そのため、Android Payそのものの脆弱性の可能性のほか、サードパーティが決済アプリを用意して、ここに不正に入手したカード情報を登録することで決済を行うこともできる。サードパーティのモバイルウォレットアプリ自体は珍しくないため、これ自体でカードの不正利用を見分けるのは不可能だ。

またIOCTA 2016に指摘されているように、仮に決済ターミナルの指摘で不正利用が発覚したとしても、店員が採れる手段は限られている点も問題だ。相手に物理カード提示を求めるのがせいぜいで、端末内の不正カード情報に何らかの対処をしたり、ましてや相手を拘束するのも不可能だ。EMV推進でICチップ対応カードが増えたことで、磁気カード経由でのスキミングが難しくなり、さらにはICチップ対応の場合はICチップ利用でないと決済を認めないというケースも増え、偽造の難しいICチップ付きカードの効果が出始めている。

一方で、もしNFC決済の仕組みを利用してお手軽にカードが不正利用されているのであれば、せっかく広がり始めたモバイル端末でのNFC決済を抑制する動きであり、早急に対処が必要だろう。


▲米国でApple Payを利用しようとしたところ、基となったカードがICチップ付きだったため、ICチップ付きカードを使っての決済を求められたケース。写真の右側はICチップ付きカードを使って決済したときのレシート。PIN認証がチップ上ではなくオンライン扱いとなっており、ネットワーク処理で何らかの問題が発生しているとみられる
関連キーワード: android, europol, Mobile payments, NFC
703 シェア
104
304
59
9
227

Sponsored Contents