「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃　米国チームが発表：Innovative Tech

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

X： ＠shiropen2

　米マサチューセッツ大学アマースト校などに所属する研究者らが発表した論文「In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping」は、他人のクレジットカードを用いてデジタルウォレットを介して商品を購入する攻撃を示した研究報告である。

　この脆弱性は、米国の主要銀行（Chase Bank、AMEX、Bank of Americaなど）やApple Pay、Google Pay、PayPalなどの主要なデジタルウォレットに影響を及ぼすものである。

　通常のデジタルウォレットの仕組みは次のようになっている。まず、ユーザーは自分のクレジットカードやデビットカードの番号（プライマリーアカウントナンバー、PAN）をデジタルウォレットに入力する。

　その後、例えば、ナレッジベースの認証（KBA）として郵便番号や社会保障番号の下4桁などの情報を用いて、ユーザーが正当なカード所有者であることを認証する。購入時には、ウォレットがPANを隠し、代わりに「トークン」と呼ばれる一時的な識別子を販売者と共有する。このプロセスにより、販売者にPANを明かすことなく取引が行われる仕組みになっている。

デジタル決済システムの概要

　しかし、研究チームは、悪意を持った第三者がこのシステムを迂回し、他人のクレジットカードで不正な購入を行う方法があることを発見した。最も深刻な問題は、初期認証の脆弱性である。物理的なカード番号を知っている悪意者が、カード所有者になりすますことが可能であり、デジタルウォレットには、カード使用者が本当のカード所有者であるかを十分に認証するメカニズムがないという。

　つまり、カード番号と簡単な個人情報さえ入手できれば、他人のカードを自分のデジタルウォレットに追加できてしまうのである。

　さらに深刻な問題は、カードの盗難が報告された場合の銀行の対応にある。通常、米国銀行は物理的なカードからの取引をブロックするが、デジタルウォレットを介した取引はブロックしないことが判明。銀行は、自社の認証システムが十分に安全であり、攻撃者が他人のカードをウォレットに追加することを防げると考えているが、実際にはそうではないことが研究により明らかになった。

　もう一つの重大な問題は、盗まれたカード番号がデジタルウォレットに一度保存されると、カード所有者がそれを無効化することがほぼ不可能になることである。カードの交換を要求しても、米国銀行はウォレットに保存されているカードを再認証せず、単に仮想番号と新しい物理カード番号のマッピングを変更するだけである。これにより、新しいカードが発行されても、攻撃者は引き続き不正な取引を行うことができてしまう。

デジタルウォレットを介して実際に無料ショッピングをテスト

　研究者らは主要な米国銀行のカードとApple Pay、Google Pay、PayPalなどのウォレットアプリを対象に、認証、取引承認、アクセス制御の脆弱性を調査した。

　まず「Bank of America」と「Chase」のクレジットカードで認証のバイパスを試みた。PayPalとGoogle Payでは請求先住所のみのナレッジベース認証（KBA）を使い、Apple Payでは多要素認証（MFA）、つまり、メールやSMS、電話が提供されていたが、いずれも公開データベースから入手した情報で突破できた。

Bank of Americaのクレジットカードでは、（a）PayPalウォレットに対してナレッジベース認証（KBA）を使用し、（b）Apple Payに対しては複数の多要素認証（MFA）方法を認証方法として使用。一方、Chase Bankのクレジットカードでは、（c）Apple PayはSMSベースのMFAのみを提供している

　次に、攻撃者に盗まれた被害者の「AMEX」とChaseのクレジットカードを用いて、デジタルウォレットでの店頭購入に関する実験を行った。攻撃者はこれらのカードを自身のウォレットに追加し、被害者はカードをロックした。

　銀行はロックされたカードでの支払いを停止すると約束したが、実験結果はこれと異なっていた。攻撃者が店舗（WalmartとTarget）を訪れ、ApplePayやGoogle Payなどのウォレットに保存された被害者のカードで取引を行ったところ、POSが取引を承認し、被害者に金額を請求。この脆弱性は1ドル未満から500ドル以上の幅広い金額で確認され、カードがロックされてから1週間後も同様の結果が得られた。

　研究チームは、被害者の「Citibank」のクレジットカードを使用し、ロックされたカードでの1回限りの取引を可能にする別の方法を実証。攻撃者は、被害者がカードをロックする前にそれを盗み、自身のウォレットに追加した。

　攻撃者はカーレンタルサービス「Turo.com」で車のレンタル支払いを行った。新規顧客として登録し、ウォレットを支払い方法として設定。Turoは支払い方法の詳細を銀行に送信し、攻撃者を登録して定期的な取引を設定した。

　カード登録後、攻撃者は車のレンタルを予約し、被害者のカードで全額支払いを行った。カードがロックされていたにもかかわらず、Turoは1回限りの支払いを定期的な取引としてラベル付けして送信した。

　この脆弱性がTuroに限定されないことを確認するため、apple.comでも攻撃を検証した。同様の手順で、ロックされたカードを使用して25ドルのAppleギフトカードと179ドルのAirPodsの購入に成功した。銀行の受領メールはカードでの定期的な取引を示していた。

銀行は、購入されたサービスの性質を確認せずに、その取引を定期的なものとして扱い、許可する

Source and Image Credits: Raja Hasnain Anwar, University of Massachusetts Amherst; Syed Rafiul Hussain, Pennsylvania State University; Muhammad Taqi Raza, University of Massachusetts Amherst. In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping