「iOSはAndroidより安全」神話の崩壊――Apple Payでカード番号が盗まれる:Computer Weekly
Apple Payを使うとカード番号が盗まれる危険性がある……。米セキュリティサービス企業が発表したハッキング手法とは?
Apple Payには、銀行口座の情報が盗み出される危険性があるという。その際に詐欺師が使うのは、65ポンド以下で誰でも入手できる、携帯も容易な機器だ。
Computer Weekly日本語版 7月15日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
セキュリティサービスの新興企業である米Wanderaは、ハッカーが作成した偽のWebページをiPhoneに表示させ、口座番号やセキュリティコードなどを入力させる詐欺の手口を公表した。
ハッカーは、広く知られたWi-Fiのエクスプロイトと簡単に入手できるWi-Fi機器を使って、標的にしたユーザーのiPhoneを、そのユーザーが気付かないうちに不正なネットワークに自動的に接続させる。同社が実験した攻撃の手法は現在も有効なため、攻撃の具体的な詳細は公表されていない。
「不正なネットワークに誘導されると、通常のインターネットへのアクセスができなくなる。そのためiPhoneの画面の左上に表示されるはずの、いつものWi-Fiアイコンは表示されなくなる。だから攻撃を受けたユーザーも、実はハッカーの不正なWi-Fi機器に接続していることに気付けない」とWanderaは説明する。
続いてハッカーは、キャプティブポータル(CP)機能を使って、本物のApple Pay利用時に表示されるカード情報入力画面に酷似した、偽のCPページをユーザーのiPhoneに表示させる。CPは、インターネット接続時に(一般的には認証のために)特定のWebページへ強制的に接続する技術だ。典型的な例としては、ホテルなどが提供するWi-Fiスポットやモバイルルーターに接続する際に表示される画面が該当する。
このハッキングの標的にされると、そのユーザーが何も操作をしないうちに、どのアプリやサービスを起動しても偽のCPページが最初に表示される状態になるとWanderaは説明する。ユーザーが偽ページにカード情報を入力すると、入力内容がリアルタイムでハッカーに収集される。
「Apple Payはかなり新しいテクノロジーなので、デパートで買い物をするコンシューマーであろうがレストランで勘定を済ませる大企業の社員であろうが、Apple Payの本来の支払い手続きがどんなものかを理解している人はほとんどいない。従って、(自分の端末上に表示された)カード情報入力画面が本物か偽物かを見分けるのは、非常に難しい」と、WanderaのCEO、エルダー・タビー氏は語る。
「ハッカーは、スマートデバイスのユーザーが『自分の端末は大丈夫』と信じ込んでいるところに付け込んでくる。だからこれは、情報セキュリティの脅威というより、ソーシャルエンジニアリングの脅威だ。この手の攻撃をかわすには、わずかな違いでも偽物を見分けるほどの感覚をユーザーが磨く他はない」(タビー氏)
そしてApple Payは人気が高くて利用者が多いので、ハッカーが現在最も注目する標的となっていると、タビー氏は懸念を示す。「人の多い場所で攻撃を仕掛ければ、成功率がわずかであっても、かなりの人数の貴重なクレジットカード情報を入手できる」と同氏は指摘する。
「とても簡単に実行できる攻撃だ。テクノロジーが手軽に使えるようになり、個人で携帯できるデバイスで情報を盗み出せる。ハッカーは、標的にしたユーザーが最も用心する状況、つまりチェックアウトの場面でも攻撃を仕掛けるようになった」
ところがAndroidデバイスではこの問題は発生しないと、タビー氏は続ける。「(ハッキングの)実験対象を拡大して、iPhone以外のデバイスやGoogle Walletも試してみた。その結果、当社のリサーチャーはこんなことを突き止めた。Androidデバイスは、CPページの処理を進める際に、ユーザーがそのページを承認する操作が必要な仕様になっている。だが、iOSでは承認が要らない」と同氏は語る。
「しかも、ハッカーたちから見ると、Google Walletのカード情報入力ページは(Apple Payに比べると)かなり複雑なので、ページを偽装するのはやや難易度が高いようだ」
Computer Weekly日本語版 F1特集号(転載・再配布フリー)も公開中!
あまり報じられることのない、F1の世界で活用されているIT事情を事例やインタビューを通して紹介。ロータス、マクラーレン、メルセデス、ケータハムのクラウド、ビッグデータ、ファイル共有戦略とは?
※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。
関連記事
- Bluetooth Low Energyでウェアラブルデバイスから情報がダダ漏れの恐れ
- Webサイトをシングルページデザイン化したBloomberg、その効果は?
- タクシー配車サービスHailoがアプリ開発で犯した失敗
- データアナリティクスによる人員配置最適化が実現した500万ドル削減
- どういうこと? ナデラCEO「MicrosoftはAppleやGoogleと競合していない」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- JINSなどメガネ業界に影響 レンズメーカーのHOYAが第三者の不正侵入を公表
- 企業向けソフトウェアの脆弱性を狙う攻撃が“爆増” 特に注意すべきものは
ITmediaはアイティメディア株式会社の登録商標です。