情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年4月8日号
***************************************************************
狙われるフリマサイト。アプリ連携のキャッシュレス脅威拡大!!
***************************************************************
コロナ禍で外出制限の中、インターネットを利用した各種サービスの利用頻度が高くなっている。
その中の一つにフリマサイトがある。
フリマサイトとはネット上のフリーマーケットのことで、出品者が自由に値段を設定し、その金額に同意
した人が商品を購入するオンラインシステムである。
気軽に不要な物を出品し現金化でき、欲しいものをオトクに購入できる点が人気を集めていて、
日本で人気のフリマサイトは2019年の会員登録者数順にメルカリ(2200万人)、ヤフオク(1500万
人)、ラクマ(1100万人)となっているが、昨年からの“巣ごもり需要”で登録者数は急増している。
一般的にフリマサイトは、アプリ内で発生する金銭授受をサイト上のポイントにして管理し、当該
ポイントを登録者が設定した銀行口座に現金化することもでき、各社が連携するキャッシュレスペイ
で利用できる様になっている。いわゆるキャッシュレス決済による電子マネーにあたる。
しかしサイバー攻撃者はこのような状況を見逃さない。ターゲットを絞り攻撃を繰り返してくる。
中国ブラックマーケットでは昨秋ごろからフリマサイトのアカウント情報の売買が盛んに行われるように
なってきていて、今年に入りその数は急増している。
3月14日【Mercari業務:店舗販売:VPN+メール+名義人+QRコードスキャンを提供】という
掲示があった。これは、出品者のアカウントである。
メルカリやラクマは海外からの出品、購入を制限しているため、国内にいる人しか利用できないが、
VPNを使いIPを隠し日本のIPにすることで海外からのアクセスが可能になる。
ここで言うVPNがこれにあたる。つまり日本にいなくてもアクセス可能である事を意味する。
またQRコードスキャンは該当するアカウントのQRコードで、これを利用すればアプリ指定のキャッシュレス
決済が簡単に行われてしまう。
つまり出品者アカウントに不正ログイン後、アプリ内に溜まっている売上金額をQRコード決済で使い
買い物もしくは任意の銀行に振込ができるのである。
メルカリでは会員1ヶ月の売上平均が2万円程度と言われていて、60代の人の平均は3万円にも上る。
そして会員本人が利用した後でなければこの金額がアプリ内に残っているという事になる。
仮に1000人に対し不正利用すれば、平均2万円であれば2000万円を搾取できるという事である。
4月1日には【日本円のマネーロンダリング方法】という書き込みも確認されている。
つまり不正送金しても痕跡を残さずに金銭を受け取る方法である。
このような方法でアカウント本人が保有している売上金を不正出金されたら、まして海外から実行され
たらどうすることも出来ない。
更に、4月2日【Fril(ラクマアクティブ化)とmercariアカウントを大量販売します。】【日本の全ての
プラットフォームの残高を代理出金します。】という掲示を確認した。
これは既にアプリを使い不正利用手順を理解しているサイバー犯罪者が、代理で出金し手数料を
得るという方法もあるが、自分が手順を理解しているので、手順を教育しますという意味の書き込み
になる。
今までは、単純にアカウント情報の売買で終わっていたのが、確実に不正ログインしてアプリ内の電子
マネーを現金化させる為の手法や手順まで売買されるようになってきたのである。
過去にもこのような掲示が発生すると、必ずと言って事故が発生している。
PayPay、7Pay、ドコモ口座から始まった一連のキャッシュレスペイによる銀行口座からの不正出金。
全て中国ブラックマーケットでサイバー犯罪を甘誘するコメントが掲示された後に起きている。
それぞれの事件で検挙された犯人の共通点は【中国籍】【SNSを利用】【指示役が存在】という点
である。正にSNSを使った中国ブラックマーケット内の組織的なハッカー集団の犯罪である。
現在日本でフリマサイトを利用している人は5000万人を超えている。
フリマサイト運営会社も、利用者も十分注意することを強く推奨したい。
このような中、日本政府は給与のデジタル払いを推進するというニュースが流れた。
今春にも給与のデジタル払いを解禁し、銀行口座を介さず決済アプリなどに直接給与が振り込まれ
るようになるという。
ソフトバンクやYAHOOなど既に手当金をデジタル払いで実施している企業まで出てきている。
これは日本が世界的に見たキャッシュレス化の出遅れから脱却しコロナ禍による現金の敬遠などから
非接触型決済を重視し「新たな生活様式」に対応した規制改革を奨めるという事が目的である。
しかし問題点や課題も山積みであり、スマホ利用者以外の対応や利用アプリの選択、災害、停電、
バッテリー切れ、紛失、盗難など様々なケースでの問題があり、やはり一番の課題はセキュリティ面の
安全性である。
前述した通り、各種アプリやキャッシュレス決済のアカウント情報が流出している状況でデジタル払い
を行えば、どうなるかは結果が見えている。
3月に確認された中国ブラックマーケット上で公開されたハッキングツールの一つに【Fingerprint
Recognition)】というツールがあるが、これはCMS指紋認識ツールとしてキーワード入力、正規表現
式(regular
expression)などの2つの方式をサポートするもので、これを使う事により指紋認証
も簡単に破られてしまう。
スマホなど指紋認証を使っている人も少なくなく、このようなツールを使って指紋認証まで破られたら、
キャッシュレス決済などひとたまりもない。
セキュリティ面の安全性を確保しない限り、利便性を優先する考えはリスクが多すぎる。
例えが適切か分からないが、新型コロナウイルス対策を優先するか、経済を優先するかという現状と
非常によく似ている。
最近の1週間でネットニュースに公開されたハッキングによる情報漏洩事故は、合計8件であり、確認
されたクレジットカード情報の流出数が6万3000件、個人情報の流出数は43万3000件にも上る。
情報が流出すれば、必ずその情報を使った2次被害、つまりサイバー犯罪が発生し、その最終的な
被害者は我々個人なのである。
日本のデジタル化に未来はあるのか?デジタル化推進の陰にサイバー攻撃のリスクが潜んでいることを
けして忘れてはならない。
---------------------------------------------------------------------------------
<参考URL>
YAHOOニュース:2021/3/25
SNSでのチケット詐欺、アカウント乗っ取り…。ネットトラブルの対処法
https://news.yahoo.co.jp/articles/859b1f7ad3f7ad5774c1a6ee595725274fe9a6a1
日本経済新聞:2021/3/1
見てわかる給与デジタル払い キャッシュレス化後押し
https://www.nikkei.com/article/DGXZQODF193SK0Z10C21A2000000/
SankeiBiz:2021/3/9
デジタル法案 衆院で審議入り コロナ禍で脆弱性露呈
https://www.sankeibiz.jp/macro/news/210309/mca2103091746022-n1.htm
朝日新聞:2021/2/8
ドコモ口座不正引き出し、中国籍の「買い子」2人を逮捕
https://www.asahi.com/articles/ASP286HX1P28UTIL03L.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved