Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

PayPayの逮捕事例

大きなインセンティブが動く時には、攻撃側が敏感に狙うのは「金銭」に近いモノであり、そこのセキュリティが甘いと大きな被害を受ける可能性がある、この記事はそれを裏付けるかと思います。

www.nikkei.com

 

他人のクレジットカード情報を悪用し、スマートフォン決済サービス「ペイペイ」で約35万円相当の商品をだまし取ったとして、愛知県警は23日までに、栃木県那須塩原市材木町の無職、平山貴則容疑者(21)を詐欺の疑いで逮捕した。県警によると、ペイペイを不正に使った詐欺事件の摘発は全国で初めて。

県警サイバー犯罪対策課によると、平山容疑者は県内29店舗でパソコンや電化製品など約1千万円分の商品を転売目的で不正に買っていたとみられる。同課はカード情報の入手方法などを調べる。

(中略)

ペイペイは18年10月にスマホを使った決済サービスを始め、同年12月に総額100億円を還元するキャンペーンを実施。その際に、匿名性の高い闇サイト群「ダークウェブ」上に流出したカード情報を悪用した不正利用が相次いだことが発覚していた

日経新聞記事より引用)

 

◆キタきつねの所感

日経中部の記事です。地方記事ではありますが、やはりな・・とこの記事を読んだ瞬間に思いました。去年の12月のPayPayの100億円キャンペーン。大反響ではあったと思いますし、第2弾もその後行われた事を考えるとキャンペーンとしては大成功だったと思います。

 

知名度もかなり上がった事も間違いありません。しかし光と影ならば影の部分。それがカードの不正取引です。少なくても昨年12月の段階でPayPayは金融の平均水準たるセキュリティ体制が整っていたとは言えないかと思います。3Dセキュアも入ってませんでしたし、不正検知(リスクベース認証等を含む)についても、カード会社や銀行が長年の知見をためてきたレベルから考えると、準備不足だった可能性が否めません。

 

参考:

foxsecurity.hatenablog.com

 

今回の逮捕ですが、DarkWeb等で使えそうな他人のカード情報を購入し、その情報を(※DarkWebで購入されたカード情報の中には使えないものも一定数あったかと思います)使ってPayPayのカード紐づけ登録を完結し、実店舗で出し子(今回逮捕された容疑者はその1人だと思います)が換金性の高い商品を一気に購入してお金に換えたという構図なのかと思われます。

PayPayはシステム上の不備(穴)があったので、カード情報を何度も登録できた事と、本人確認が(他のサイトに比べて)甘かった事が狙われたと考えても良さそうです。

PayPayはリリース等でも言っていますが、不正に使われたカード情報はPayPayから漏洩したものではないのですが、

パソコンや電化製品など約1千万円分の商品を転売目的で不正に買っていたとみられる。

(日経記事より引用)

 

1人の出し子だけで、1000万円以上カード情報が不正に使えてしまった環境(※マネロン出来てしまう環境)を構築、提供した責任がPayPayにはあると思います。

 

初の逮捕事例の記事ですが、PayPayで不正をした(逮捕されるべき)人が1人だけであるとは思えません。日経の記事中にも、

 

平山容疑者は「雇われてやった」と供述しており、同課は詐欺グループが関わっている可能性があるとみている。

(日経記事より引用)

 

出し子である事を伺わせる部分が書かれていますので、振り込め詐欺の様な組織的な犯罪集団が関与している可能性が高いかと思います。(※根拠はありませんが、振り込め詐欺のグループが、儲かりそうだと、そのままPayPayに一時移動した気がします)

 

 

f:id:foxcafelate:20190601065151p:plain

 

更新履歴

  • 2019年6月1日AM(予約投稿)