　韓国のChung-Ang UniversityとAjou Universityの研究チームが開発した「MagSnoop: Listening to Sounds Induced by Magnetic Field Fluctuations to Infer Mobile Payment Tokens」は、スマートフォンをかざすだけで決済が完了するサービスにおいて、決済時の音を盗聴して乗っ取る手法だ。あらかじめ仕込まれた攻撃者のアプリが決済時の音を内蔵マイクでこっそり遠隔で盗聴することで、不正に取得したトークンで買い物し放題になる。

MST（Magnetic Secure Transmission）決済サービスの攻撃フロー

　商品を購入する際に、現金やクレジットカードの代わりに、スマートフォンを介したモバイル決済サービスを利用する傾向が強まっている。このトレンドに合わせて、Samsung Pay、Apple Pay、Google Payなどのさまざまなモバイル決済サービスが商品化され、スマートフォンの主要なアプリケーションになっている。

　これらのお財布レス決済は、基本的にMST（Magnetic Secure Transmission）やNFC（Near-Field Communication）などの近距離無線通信によって実現される。特に、Samsung Payで採用されているMSTは、ハードウェアやソフトウェアの変更がなくても、スマートフォンと従来の磁気カード用決済端末との通信を可能にする。

　MSTは、「MSTコイル」と呼ばれる導体コイルに電流を流し、コイルに磁界を発生させることで磁気カードのスワイプを模倣する。そして決済端末は、発せられた磁気の波を読み取ることで要求された決済処理を行う。なお、磁気波は決済が完了するまで繰り返し発生する。

　これらの便利な機能を持つMSTは、モバイル決済ユーザーに利益をもたらすが、機密データ（支払トークン）を運ぶため、敵対者に新しい機会を与えることにもなる。先行研究において、磁気波を盗聴することでMST支払トークンを傍受することが可能と示されている。

　だがこれまでの攻撃では、トークンを正確に抽出するために攻撃者が被害者の近くに位置する必要があり、また高性能でサイズが大きな磁気受信機を携帯しなければならない。これらの点から、磁気を利用した攻撃方法を実世界に適用することは困難であった。

　今回はもう一歩踏み込み、特別なハードウェアを必要とせず遠隔から音を聞くことでMST決済トークンを推測する、より深刻な新たな攻撃「MagSnoop」を提案してセキュリティ脅威の可能性を探る。

　MST決済サービスの実行時には、決済トークンを暴露する特定のパターンの音（MSTサウンドと呼ぶ）を生成する。スマートフォンには、ワイヤレス充電の効率を高めるための磁気シールドなど強磁性体を用いたハードウェア部品が複数あるためだ。このような材料にMSTコイルの磁界が加わると、磁区が移動することで変形する（磁歪効果）。

　この変形が材料の振動を引き起こし、最終的にMSTサウンドを発生させる。このためMST決済が開始されると、磁気の波が周期的に放出されるたびにMSTサウンドが発生する。

攻撃の概要図

　このようなMSTサウンドと磁気の関係から、MST対応のスマートフォンに対して次のような攻撃が可能だ。ユーザーが買い物をするためにMST決済サービスを起動すると、被害者のスマートフォンにインストールされた攻撃者のアプリケーションが、内蔵マイクで音声をこっそり録音する。収集したMSTサウンドから決済トークンを推測しそのトークンを使って不正な取引を行う。

　つまり今回の脅威モデルでは、敵対者は特別なハードウェアを用意することなく、遠隔から、簡単に決済トークンを傍受することができるわけだ。

　実験では、MSTに対応したAndroidスマートフォン上でMagSnoopのプロトタイプを動作させてその性能を評価した。その結果、MSTサウンドに含まれるMST決済トークンを高精度に復元できることを示した。例えば、1つのMSTサウンドを解析しただけでも、さまざまなスマートフォンで高い予測精度（77.8％以上）を達成した。

　さらにMagSnoopは、さまざまな環境下（例えば、50dBAの周囲の騒音がある場合でも69.2％以上）で正確なトークン推定をサポートしており、実世界で68％という高い成功率で不正な取引を行えることを示した。

Source and Image Credits: Myeongwon Choi, Sangeun Oh, Insu Kim, and Hyosu Kim. 2022. MagSnoop: listening to sounds induced by magnetic field fluctuations to infer mobile payment tokens. In Proceedings of the 20th Annual International Conference on Mobile Systems, Applications and Services (MobiSys ’22). Association for Computing Machinery, New York, NY, USA, 409-421. https://doi.org/10.1145/3498361.3538937

“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃　米Microsoftなどが指摘
セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文を発表した。
出版料をだまし取る“ニセ学術誌”のリストが登場　本物と見分けがつかない詐欺サイト150以上を掲載
ドイツのFree University of BerlinのAnna Abalkina氏とRetraction Watchは、クローンジャーナル（詐欺をするために本物を模倣して作られた偽の学術誌）を一覧にしたリストを発表した。
「予測されやすいパスワード」有名サイト75％で許可　米プリンストン大が警鐘
米プリンストン大学の研究チームは、Webサイトで新しくパスワードを設定する際にユーザーが保護される仕様になっているかを調査し考察した論文を発表した。世界で最も人気のある英語圏のWebサイト120のパスワードポリシーを調査した。
ウイスキーの中に浮かぶ食べられるタグ　スマホで読み取り偽物か判別　医薬品などにも応用可
米パデュー大学、韓国の金烏工科大学校、韓国のNational Institute of Agricultural Sciencesの研究チームは、ウイスキーが偽物かどうかを明らかにする二次元コード付きの食用タグを開発した。
「飲み物に何か混入されていないか」をスマホカメラで検出　気泡の形や動きから予測
シンガポール国立大学と韓国Yonsei Universityの研究チームは、スマートフォンのカメラのみで開封前の密封されたボトル内の液体内容物に不純物が混入されていないかを検出するシステムを開発した。