中国でApplePayを悪用した約1.6億円の詐欺事件が発生

牧野武文

May 1, 2017 08:00
by 牧野武文

ApplePayが中国でサービスインをして1年余りが過ぎた今年4月、1億6000万円規模の詐欺事件が発覚し、湖北省英山公安が、その詐欺集団20数人を逮捕したと、央視網(中央電視台ニュースサイト)が報じた。央視網によると、中国でのApplePayを悪用した詐欺事件としては初めてのものになるという。

中国で苦戦するApplePay

ApplePayは中国では大苦戦をしている。中国のモバイルペイメント市場シェアは、市場調査会社「易観国際」の調査によると、昨年第4四半期で、アリペイ(アリババ)51.1%、財付通(WeChatペイ、QQ銭包など。テンセント)37%となっており、ApplePayはその他の1.88%の中に含まれてしまい、個別のシェアが記載されていないレベル。昨年2月、サービスイン直後は開始12時間で3800万枚の銀行カードが登録されたなど景気がよかったが、それきりになってしまった。

理由はいくつもある。中国ではすでにアリペイ、WeChatペイが普及をしていて、消費者は新たな決済手段を必要としていないこと。アリペイなどはQRコードを読み取り支払いをするが、ApplePayのNFCによるタッチ方式が格段に便利だとは感じられないこと。一方で、店舗ではNFCリーダーが必要となり、その投資が障壁になっていること。

さらに、中国のApplePayはクレジットカードではなく、デビットカードのみに対応している(香港ApplePayはVISAなどに対応している)。中国ではクレジットカード利用者が少ないことを見越して、デビットカードを中心に対応したのだろうが、代表格である銀聯カードですら、アリペイなどに押されて、モバイルペイメント市場の0.83%のシェアしか握れていない。

さらに、iPhoneそのものの売れ行きが頭打ちだ。未だに、中国市場でもiPhoneは高級スマートフォンと位置付けられているが、サムスンやシャオミー、ファーウェイなどが同性能でも価格は圧倒的に安い機種を投入しており、iPhoneは今や一部のアップルファンだけが買うものになりつつある。

あらゆる状況が、ApplePayにとって不利になっている。

盗難カードでの決済額は約1480万円

このような状況の中で、ApplePayを悪用した大規模詐欺事件が初めて発覚した。

舞台となったのは「闘魚直播」(斗鱼直播)という動画配信・ネットゲームサイト。このゲーム内通貨へのチャージにApplePayが悪用された。昨年6月、運営会社である闘魚網絡科技有限公司が、アップルに対して精算をしようとしたところ、アップルが「盗まれたクレジットカードによる請求がある」として、一部の支払いを拒絶。このような問題は、どこのサイトでも起こっていることだが、闘魚直播の場合は、その額が92万元(約1480万円)と巨大で、英山県公安に被害届を出すことになった。

英山公安が内偵調査を進めると、おかしな動きをするアカウントが発見された。それは、30秒から1分という短い時間の間に、10元(約160円)ずつ、10回も連続でチャージし続けるアカウントが複数見つかったのだ。しかも、すべてがApplePayによるものだった。高額のチャージを行い、運営側に把握されることを恐れて、最もチャージする人数が多い10元のチャージを繰り返していたと思われる。

英山公安の助言の下、闘魚直播がこのようなアカウントを凍結すると、そのアカウントの持ち主が、闘魚直播に対して連絡を取ってきた。英山公安が、その人物に聞き取り調査をすると、「あるネット上の知り合いにチャージをしてもらっていた。ゲーム内通貨を8割引で売ってもらった。合計で数十万元はその人物に支払った」と言う。

この線から浮かび上がってきたのが、江西省のある大学生だった。彼らは3人のグループで、一人が海外の闇市場から流出したクレジットカード情報を購入し、一人がそのカードを使って、ApplePayへの登録を行い、一人が闘魚直播でゲーム内通貨を購入する利用者を探すという役割分担をしていた。

他人のカードでも登録できる

ApplePayは技術的に安全度がきわめて高い。決済ネットワークにカード情報がそのまま流れることはなく、トークンによる決済を行う。このトークンは仮に漏洩をしても、悪用をして決済をすることができない仕組みになっている。また、支払いをするときも、指紋によるTouchIDがあるので、iPhone本体を紛失してしまっても他人に利用される可能性は限りなく小さい。

しかし、これは本人が自分のカードを使う場合で、この事件のように他人のカードを登録してしまう場合は話が別だ。

実際、ApplePayは他人のカードでも簡単に登録をしてしまえる。カードの写真を撮影すると、カード番号を自動読み取りし、登録が完了する。その後の本人確認は、各カード会社に任されており、多くはショートメッセージ(SMS)で検証コードを送り、そのコードを入力することで、カードが利用できるようになる。

もちろん、カード情報とiPhone本体のシリアル番号、Apple IDは紐づいているので、不正利用をすれば、すぐに身元が割れてしまうことになる。3人は、この問題をクリアするために、ApplePayサービスが始まってから3ヵ月間、さまざまな実験と試行を繰り返し、独自の方法を編み出した。

百数十台のiPhoneをレンタルして違法行為

iPhoneはAppleIDとiPhone本体を紐づける仕組みとなっている。一度、AppleIDとiPhoneが紐づいてしまうと、90日間は別のAppleIDを使用することができなくなる。そのため、3人は、レンタルしたiPhoneを使うことにした。レンタルしたiPhoneに、フリーメールアドレスを使って新規取得したAppleIDを登録、そこに違法入手したクレジットカードをApplePayに登録をして、限度額目一杯まで、闘魚直播のゲーム内通貨にチャージをする。

ほぼ3日間で限度額を使い切ってしまうので、別のiPhoneをレンタルして、そこに新しいAppleID、新しいクレジットカードを登録するということを繰り返していた。

また、海外で流出したクレジットカードを使うのも彼らの工夫だった。中国のApplePayは国内では銀行カード(デビットカード)しか対応していないが、外国人が自国のクレジットカードを登録したApplePayは、中国でも利用することができる。

デビットカードは、決済をすると、リアルタイムで銀行口座から決済される。しかし、クレジットカードの場合は月締めで、決済は1ヵ月に1回でしかない。デビットカードで犯行を行ってしまうと、リアルタイムで発覚をすることになり、銀行口座を凍結されてしまう可能性があるが、クレジットカードであれば、発覚は最短でも1ヵ月後なのだ。

3人は、昨年5月頃、犯罪手法を確立、闘魚直播で犯行を始めたが、6月に発覚したことを悟ると、YY直播、徳洲補克など同様のゲームサイトに犯行場所を次々と移していった。こうして、8ヵ月の間に、6000件のAppleIDを取得し、4000枚の流出クレジットカード情報を使い、1000万元(約1億6000万円)以上の売り上げを上げ、経費を差し引いた利益は300万元(約4800万円)になったという。

3日ごとに百数十台のiPhoneをレンタルするという大掛かりなもので、人手が足りず、20名ほどのアルバイトを雇って、作業にあたらせていた。全員が検察に送られ、詐欺罪とクレジットカード違法利用罪などで起訴される予定だ。

押収された100台を超えるiPhone。90日間は、別のAppleIDを紐づけることができないという制限をクリアするために、3日ごとにiPhoneをレンタルして犯行を重ねていた。約20名のアルバイトを雇い、作業にあたらせていたという。


100台を超えるiPhoneが押収された。犯行グループは約20名のアルバイトを雇い、作業を行わせいてた。画像は「央視網」より

ニュースで学ぶ中国語

 
苹果(pingguo):果物のリンゴのこと。IT関連では米アップルのことを指す。iPhoneは苹果手機、Macは苹果機、iCloudは苹果雲、アップルストアは苹果商店になる。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…