カード決済サービス Square でスキミング実現デモ

Haruka Ueda
Haruka Ueda
2011年08月8日, 午後 01:00 in aperture labs
0シェア
FacebookTwitter
Square

iPhone や Android にドングルを取り付けて利用するクレジットカード決済サービス Square は、はじめ Twitter 共同創業者の Jack Dorsey 氏が手がけたことで話題となり、そのあとも決済の手軽さゆえ徐々に米国で人気を集めつつあります。しかし、専門家によれば Square にはセキュリティ面で懸念があるとのこと。実際、セキュリティカンファレンス Black Hat では、Squareを悪用するデモが披露されました。研究成果を発表したのは、その名も Aperture Labs という英国のセキュリティ調査会社で働く、Adam Laurie氏とZac Franken氏。すばらしい銃は開発していないはずです。

Laurie氏らが紹介したデモはふたつ。ひとつめは、クレジットカードを使わずに Square の決済を利用する方法です。Square ではスキャンしたカードのデータを音声化し、iPhone / Android のヘッドホン端子経由で端末内アプリへと送信しますが、Laurie氏らはドングルを使わず、カードの磁気データから音声へ直接変換することに成功しました。これにより、たとえば盗難されたクレジットカードの情報を利用して、本来はカードがなければ利用できないはずの Square で決済を行えてしまいます。

また、もうひとつのデモはその反対で、Square リーダーで音声化されたデータを変換し、クレジットカード情報に復元するというもの。問題は音声化されたデータに暗号化が施されていないことで、このままでは Square のドングルがスキミングに活用されてしまいます。

こうした手法について、Laurie氏らはすでに2月時点で Square へ報告を行ったとのこと。しかし同社は、カード詐欺には他にもっと簡単な方法があり、実際の詐欺については利用履歴などから検出できるため、こうした手法を大きな脅威とは考えていないようだと、Laurie氏は説明しています。もっとも、暗号化に対応した新ドングルを同社が開発中らしいとも聞いているそう。たしかにスキミング用の機器や、それを活用した詐欺の手法については他にもありますが、Squareという手軽な決済サービスの普及が、カード詐欺までも手軽にしてしまうという事態は避けて欲しいものです。
 
 
新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: aperture labs, ApertureLabs, black hat, BlackHat, card fraud, CardFraud, credit card, CreditCard, fraud, payment, square
0シェア
FacebookTwitter

Sponsored Contents