「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
ITmedia NEWS / 2024年9月2日 8時5分
●デジタルウォレットを介して実際に無料ショッピングをテスト
研究者らは主要な米国銀行のカードとApple Pay、Google Pay、PayPalなどのウォレットアプリを対象に、認証、取引承認、アクセス制御の脆弱性を調査した。
まず「Bank of America」と「Chase」のクレジットカードで認証のバイパスを試みた。PayPalとGoogle Payでは請求先住所のみのナレッジベース認証(KBA)を使い、Apple Payでは多要素認証(MFA)、つまり、メールやSMS、電話が提供されていたが、いずれも公開データベースから入手した情報で突破できた。
次に、攻撃者に盗まれた被害者の「AMEX」とChaseのクレジットカードを用いて、デジタルウォレットでの店頭購入に関する実験を行った。攻撃者はこれらのカードを自身のウォレットに追加し、被害者はカードをロックした。
銀行はロックされたカードでの支払いを停止すると約束したが、実験結果はこれと異なっていた。攻撃者が店舗(WalmartとTarget)を訪れ、ApplePayやGoogle Payなどのウォレットに保存された被害者のカードで取引を行ったところ、POSが取引を承認し、被害者に金額を請求。この脆弱性は1ドル未満から500ドル以上の幅広い金額で確認され、カードがロックされてから1週間後も同様の結果が得られた。
研究チームは、被害者の「Citibank」のクレジットカードを使用し、ロックされたカードでの1回限りの取引を可能にする別の方法を実証。攻撃者は、被害者がカードをロックする前にそれを盗み、自身のウォレットに追加した。
攻撃者はカーレンタルサービス「Turo.com」で車のレンタル支払いを行った。新規顧客として登録し、ウォレットを支払い方法として設定。Turoは支払い方法の詳細を銀行に送信し、攻撃者を登録して定期的な取引を設定した。
カード登録後、攻撃者は車のレンタルを予約し、被害者のカードで全額支払いを行った。カードがロックされていたにもかかわらず、Turoは1回限りの支払いを定期的な取引としてラベル付けして送信した。
この脆弱性がTuroに限定されないことを確認するため、apple.comでも攻撃を検証した。同様の手順で、ロックされたカードを使用して25ドルのAppleギフトカードと179ドルのAirPodsの購入に成功した。銀行の受領メールはカードでの定期的な取引を示していた。
この記事に関連するニュース
-
ジャックスが「Apple Pay」の再設定を要請 Mastercard会員にセキュリティ向上のため
ITmedia Mobile / 2024年9月2日 12時45分
-
Androidユーザーのキャッシュカードを悪用し現金を盗む手口が明らかに
マイナビニュース / 2024年8月24日 9時5分
-
プロサッカー選手・堂安律さん起用の新CM「『Visaでタッチ』を、Apple Payで。」8月19日より配信開始
PR TIMES / 2024年8月19日 10時45分
-
あなたのクレジットカードが狙われる! ウェブスキミングとクレジットマスターとは?
マイナビニュース / 2024年8月13日 11時0分
-
東奔西走キャッシュレス 第59回 クレジットカードの不正利用、フィッシング対策の強化を
マイナビニュース / 2024年8月9日 17時57分
ランキング
-
1覚えておくとApple Watchがちょっと快適になる小ワザ3選|Apple Watch Hacks
&GP / 2024年9月1日 19時0分
-
2「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
ITmedia NEWS / 2024年9月2日 8時5分
-
3「よくこんなものが……」 米不足でメルカリに米出品→疑問の声も 運営は“禁止出品物”に「然るべき対応」
ねとらぼ / 2024年8月31日 12時0分
-
4並んで歩くカラスの親子、1羽がふざけて転がると…… 知能の高さがうかがえる驚きのオチに「可愛すぎる」「表情豊かでおもしろ」
ねとらぼ / 2024年9月2日 7時30分
-
5Googleレンズ、デスクトップ版Chromeで利用可能に ツールバーに常駐
ITmedia NEWS / 2024年9月2日 7時8分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください