Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SMS-OTPの危殆化が始まっている

つぶやいてみた。

朝日新聞の本日の記事は、色々と考えさせられるものがありました。

www.asahi.com

 オークションサイトに架空出品した商品を自ら落札し、支払い代金に充てた決済サービス「PayPay(ペイペイ)」のポイントを不正に現金化したとして、警視庁が埼玉県草加市の男女3人を電子計算機使用詐欺容疑で逮捕したことが7日、捜査関係者への取材でわかった。

 3人は20~50代の家族で、アプリなどの認証代行業者だった。事業に使う約4万件の携帯番号でアカウントを作り、新規登録者に付与されるポイントを約2千万円分入手。現金化して、トヨタ自動車の高級ブランド車「レクサス」を購入するなどしたという。

 3人は昨年6~7月、オークションサイトヤフオク!」に実在しないトレーディングカードを約800回出品し、自ら落札してペイペイのポイントで決済。約40万円分を現金化した疑いがある。ポイントは新規登録キャンペーンの特典で、アカウントを作った人に500円分が付与されていた。登録に必要な電話番号は、事業用に所持していた大量の「SIMカード」を利用したという。

朝日新聞記事より引用)

 

キタきつねの所感

ヤフオクやメルカリ等のオークションサイトや、オンラインゲーム等で複数アカウントを持ちたいというニーズは一定の需要があります。

大々的にそれをビジネスとしている”認証代行業者”があるいのは知っていましたが、オークションやゲームの運営側、警察もそうした業者に対し、人的な監視やAI検知などを使って対策を強化しており、認証代行なるビジネスが以前ほどには儲からなくなり始めている、そうした背景がこの事件にはあるのかも知れません。

朝日新聞の用語解説では、認証代行業者を以下の様に説明しています。

アプリなどの利用者が新規登録やログインをする際、本人確認の手続きを代行する業者。自らが管理する携帯電話の番号を利用者に伝えてアプリに登録してもらい、その後にショートメッセージ(SMS)で送られてきた確認コードをさらに利用者に伝えて、アプリに入力してアクセスしてもらう。番号が登録された格安「SIMカード」を大量に仕入れているとみられる。他人になりすませるため、犯罪ツールになる危険性があるとの指摘がある。

朝日新聞記事より引用)

 

※10/5の別な朝日新聞の記事には、こうした認証代行が「電磁的記録不正作出罪」に違反している事が書かれています。既に業者の元投稿は消されていますが、埼玉県警のリプライが残っていたので引用しておきます。

「2段階認証代行は犯罪」埼玉県警が宣伝ツイートに返信:朝日新聞デジタル

 

では、こうした本業が成り立たなくなってきた業者が、自分たちの資産を有効活用する為に・・・と考えて、PayPayの販促キャンペーンが狙われた様です。恐らく下記の様なキャンペーンだったのかと思います。

f:id:foxcafelate:20201008064709p:plain

 

ここで本人認証(多重登録防止)のために使われている手段が、SMS認証(OTP)であった事から、大量のSIMカードを用いて不正な登録をしたのかと思います。

f:id:foxcafelate:20201008064933p:plain

 

事件の概要図を朝日新聞の情報を元に書いてみましたが、一番大きな脆弱点となってしまったのが、大量のSIMが不正に使われるという想定がサービス事業者側に無かったという点です。しかし、これは本人確認法の問題と言った方が良いのかも知れません。

f:id:foxcafelate:20201008105149p:plain

 

今回使われた大量のSIMは、音声通話が出来ないものであった可能性が高いかと思います。すなわち、MVNO(海外で入手されたプリペイドSIM)のデータ通信SIMが大量に使われたものと推測します。

音声通話ができるSIMは格安SIMであっても、本人確認が求められますので、大量の入手あるいは、今回の不正ポイント現金化において、契約情報から犯人に辿りつきやすくなる、あるいはアカウント登録の時点で弾かれる要素になってしまいます。

 

しかし、本人確認が不要のデータ通信SIMならば、誰が入手したかが(本当の意味では)分かりませんのでこの事件構図での利用にぴったりと条件があいます。

※違う見方をすれば、この脆弱点は、この事件以外のパターンでも悪用がされる可能性がありそうです。

 

データ通信SIMだと電話番号が付与されないものが普通ですが、「SMS利用」オプションが付けられるものもありますので、そうしたMVNOから大量にSIMを仕入れた可能性が高いのではないでしょうか。

 

個人的にはSMSオプションが使える時点で、何故本人確認が不要なのかが分かりません。ユーザーの匿名性が大事である場合も多々ありますが、こうした犯罪を考えると、やはり本人確認法に抜け穴がある気がしてなりません。

 

もう1点、この事件の手口を考えてういくと疑問に思うのが、大量のSIMを使って、4万アカウント登録(約2000万円分のPayPayポイント)できたとして、それを手動でやるか?という点です。

今回逮捕されたのは3人ですので、昼夜問わず作業をすればやってやれなくは無いかとは思いますが、現実問題としては手動での作業は難しいのではないかと思います。

 

だとすれば、会員登録あるいはポイントでの入札を自動で行うツールがあったのではないでしょうか。

こうしたツールを使った不正手口だった場合、模倣が可能かと思いますので、ツール使用に関して、何らかの対策が必要なのかと思います。(自動落札管理ツールはともかく、自動アカウント登録ツールがもし一般公開されているのであれば問題な気がします)

 

 

余談です。日本では携帯会社による本人確認がしっかりしているので携帯電話を使ったSMS-OTPは海外のソレに比べて安全であると言われてきましたが、NISTが安全ではないと警告した(下記参照)様に、制度上の脆弱点を突かれた事件が数多く出てくるかも知れません。

 

参考:

japan.zdnet.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

運転代行のイラスト 

更新履歴

  • 2020年10月8日 AM(予約投稿)