銀行口座を空にする「深夜の幽霊」が中国のECサイトを徘徊

牧野武文

April 10, 2017 08:00
by 牧野武文

中国「安全客」の報道によると、2月26日に「深夜の幽霊」(午夜幽灵)と呼ばれていたサイバー犯罪集団の3人が逮捕された。中国最大手のセキュリティ企業「奇虎360」と携帯電話キャリア「中国移動」、深圳市公安の合同捜査の成果だ。

朝には口座が空っぽ

彼らは犯行を深夜に行う。被害者は朝起きてから銀行口座の残高がゼロになっていることに気がつくことから、「深夜の幽霊」と呼ばれるようになった。

春節(旧正月)が開けた2月3日、深圳市のある市民が、スマートフォンが乗っ取られ、5万3000元(約86万円)が盗まれたと訴えた。夕方に使ったときには不審な点はなにもなかったのに、朝起きてみたら、銀行口座の残高がほぼゼロになっていた。まるで、深夜に幽霊が現れて、預金を引き出したかのようだった。

不審な点はあった。春節で湖南省に帰省していた被害者は、ほぼまる1日車を運転して疲れ切り、深圳の自宅に帰ってきた。午前4時ごろ、トイレに行くので目が覚めて、なにげなくスマホを見ると、画面が点灯しなかった。不思議に思ったが、多分バッテリーがなくなったのだと思い、充電ケーブルをつないでそのまま眠ってしまった。朝起きると、普通にスマホが使えたので、なにも気にしなかった。

しかし嫌な予感がして、いつも使っている大手ECサイト「京東商城」にアクセスをしてみると、パソコンやハードディスクなど1000元(約1万6000円)の買い物が勝手にされていて、さらには5万2000元のキャッシングがされていた。被害者は驚いて、すぐに京東商城に連絡、商品の出荷を止めてもらった。しかし、キャッシングの方は、すでに、5万元分が別人の口座に振り込まれ、2000元分はATMから引き出されていて、手遅れだった。
京東商城では、紐づけられている被害者の銀行口座からすでに決済をしており、被害者の銀行口座はほぼゼロになっていた。被害者は慌てて近くの派出所に相談、事件が発覚した。

幽霊の手口

捜査にあたった深圳市公安が不思議に思ったのは、どうやって被害者に気づかれることなく、購入やキャッシングができたのかということだ。京東商城では、購入、キャッシングをするときは、本人確認のため、登録されている携帯電話番号に確認のショートメッセージを送り、記載されている検証コードを入力しないと、購入、キャッシングが確定しない。被害者のスマホには、そのような確認のショートメッセージは届いていなかったのだ。

「深夜の幽霊」の3人はクラウドサービス「360雲服務」を利用して、このトリックをおこなった。

360雲服務は、スマホデータのクラウドバックアップ、リモートワイプ、バックアップ復元などの機能を提供している。スマホを紛失したときは、360雲服務からリモートワイプをしてデータを全消去してしまえば、悪用される心配がない。見つかったら、クラウドからバックアップ復元をすれば、以前と同じように使えるという安心・安全のためのサービスだった。「深夜の幽霊」は、皮肉にも、この360雲服務をハックツールとして利用した。

「深夜の幽霊」は、闇市場から大量の京東商城のアカウントとパスワードを手に入れた。次に、ショートメッセージによる検証コードの問題をバイパスするために、被害者の360雲服務のアカウントのハックを試みた。被害者は、単純なパスワードを設定していため、簡単に360雲服務のアカウントに侵入されてしまい、被害を受けることになった。

360雲服務には「副番号」という機能があった。登録している携帯電話番号の他に、副番号として別の携帯電話番号を登録することができる。主番号の携帯の電源が切れていたり、圏外にあるときは、自動的に副番号の携帯番号に通話とショートメッセージを自動転送してくれるというものだ。

被害者の360雲服務アカウントに侵入した「深夜の幽霊」は、まず自分の携帯番号を副番号として登録。それから被害者のスマホにリモートワイプをかけた。これで被害者のスマホは全データが消去され、ロックされた状態になった。

次に、被害者のアカウントで京東商城にアクセスし、商品の購入やキャッシングを行った。検証コードが記載されたショートメッセージは、被害者の携帯がロックされているため、自動的に副番号、つまり犯人の携帯電話に届くことになる。

信用枠目一杯を購入、キャッシングすると、今度は被害者のスマホに対して、バックアップ復元をかけ、登録した副番号を消去。被害者のスマホは、元通りになる。このような犯行を、深夜に行ったため、被害者はまったく気がつかなかった。

誰に責任があるのか?

この事件は、以前掲載した安徽暉冠社事件(有名会員サイトの個人情報を50億件も窃盗し、販売していた事件)とも関係していると推測されている。なぜなら、犯人グループの一人、鄭某(仮名)が2016年6月から京東商城のエンジニアとして勤務していた記録があるからだ。鄭某は、京東商城利用者の個人情報を大量に窃盗し、安徽暉冠社経由で「深夜の幽霊」などのハッカー集団に販売していた可能性がある。

そのため、この事件の責任がだれにあるのかが、ネット上では大きな議論となった。京東商城は、大量の個人情報がハッカーの手によって流出したのに、対応策を取らなかった。おそらく、検証コードを本人のスマホに送信するという安全策を以前からとっていたため、それで事故は充分予防できると考えたのかもしれない。360としては、安心安全のためのクラウドサービスがこのようなことに悪用されるとはまったく想定しなかったのだろう。360雲服務のパスワードを簡単に推測がつく単純なものにしていた被害者本人にも問題がある。

事件の詳細が明らかになるにつれ、世間からの非難を浴びたのは360だった。副番号の機能は、さまざまなことに悪用ができると多くのネットワーカーが指摘した。そのような声が高まると、360は自分たちのサービスの安全対策が万全ではないことを認め、副番号のサービスをいったん停止した。さらに被害者が受けた実質的な被害金額5万2000元を賠償することも発表した。

360雲服務を運営する「奇虎360」は、中国最大手のインターネットセキュリティ企業。その企業の看板製品が、ハッキングツールとして悪用されてしまった。360が失った信用は大きく、現在、360は関連事件の捜査に全力で協力をしているという。

ニュースで学ぶ中国語

 
雲服務(yunfuwu):クラウドサービス。写真、音楽、映像などを保存するクラウド共有ストレージが一般的。360雲服務は、360がAndroidスマートフォン向けに提供しているクラウドバックアップサービス。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…