中国でApplePayを悪用した約1.6億円の詐欺事件が発生

牧野武文

May 1, 2017 08:00
by 牧野武文

ApplePayが中国でサービスインをして1年余りが過ぎた今年4月、1億6000万円規模の詐欺事件が発覚し、湖北省英山公安が、その詐欺集団20数人を逮捕したと、央視網(中央電視台ニュースサイト)が報じた。央視網によると、中国でのApplePayを悪用した詐欺事件としては初めてのものになるという。

中国で苦戦するApplePay

ApplePayは中国では大苦戦をしている。中国のモバイルペイメント市場シェアは、市場調査会社「易観国際」の調査によると、昨年第4四半期で、アリペイ(アリババ)51.1%、財付通(WeChatペイ、QQ銭包など。テンセント)37%となっており、ApplePayはその他の1.88%の中に含まれてしまい、個別のシェアが記載されていないレベル。昨年2月、サービスイン直後は開始12時間で3800万枚の銀行カードが登録されたなど景気がよかったが、それきりになってしまった。

理由はいくつもある。中国ではすでにアリペイ、WeChatペイが普及をしていて、消費者は新たな決済手段を必要としていないこと。アリペイなどはQRコードを読み取り支払いをするが、ApplePayのNFCによるタッチ方式が格段に便利だとは感じられないこと。一方で、店舗ではNFCリーダーが必要となり、その投資が障壁になっていること。

さらに、中国のApplePayはクレジットカードではなく、デビットカードのみに対応している(香港ApplePayはVISAなどに対応している)。中国ではクレジットカード利用者が少ないことを見越して、デビットカードを中心に対応したのだろうが、代表格である銀聯カードですら、アリペイなどに押されて、モバイルペイメント市場の0.83%のシェアしか握れていない。

さらに、iPhoneそのものの売れ行きが頭打ちだ。未だに、中国市場でもiPhoneは高級スマートフォンと位置付けられているが、サムスンやシャオミー、ファーウェイなどが同性能でも価格は圧倒的に安い機種を投入しており、iPhoneは今や一部のアップルファンだけが買うものになりつつある。

あらゆる状況が、ApplePayにとって不利になっている。

盗難カードでの決済額は約1480万円

このような状況の中で、ApplePayを悪用した大規模詐欺事件が初めて発覚した。

舞台となったのは「闘魚直播」(斗鱼直播)という動画配信・ネットゲームサイト。このゲーム内通貨へのチャージにApplePayが悪用された。昨年6月、運営会社である闘魚網絡科技有限公司が、アップルに対して精算をしようとしたところ、アップルが「盗まれたクレジットカードによる請求がある」として、一部の支払いを拒絶。このような問題は、どこのサイトでも起こっていることだが、闘魚直播の場合は、その額が92万元(約1480万円)と巨大で、英山県公安に被害届を出すことになった。

英山公安が内偵調査を進めると、おかしな動きをするアカウントが発見された。それは、30秒から1分という短い時間の間に、10元(約160円)ずつ、10回も連続でチャージし続けるアカウントが複数見つかったのだ。しかも、すべてがApplePayによるものだった。高額のチャージを行い、運営側に把握されることを恐れて、最もチャージする人数が多い10元のチャージを繰り返していたと思われる。

英山公安の助言の下、闘魚直播がこのようなアカウントを凍結すると、そのアカウントの持ち主が、闘魚直播に対して連絡を取ってきた。英山公安が、その人物に聞き取り調査をすると、「あるネット上の知り合いにチャージをしてもらっていた。ゲーム内通貨を8割引で売ってもらった。合計で数十万元はその人物に支払った」と言う。

この線から浮かび上がってきたのが、江西省のある大学生だった。彼らは3人のグループで、一人が海外の闇市場から流出したクレジットカード情報を購入し、一人がそのカードを使って、ApplePayへの登録を行い、一人が闘魚直播でゲーム内通貨を購入する利用者を探すという役割分担をしていた。

他人のカードでも登録できる

ApplePayは技術的に安全度がきわめて高い。決済ネットワークにカード情報がそのまま流れることはなく、トークンによる決済を行う。このトークンは仮に漏洩をしても、悪用をして決済をすることができない仕組みになっている。また、支払いをするときも、指紋によるTouchIDがあるので、iPhone本体を紛失してしまっても他人に利用される可能性は限りなく小さい。

しかし、これは本人が自分のカードを使う場合で、この事件のように他人のカードを登録してしまう場合は話が別だ。

実際、ApplePayは他人のカードでも簡単に登録をしてしまえる。カードの写真を撮影すると、カード番号を自動読み取りし、登録が完了する。その後の本人確認は、各カード会社に任されており、多くはショートメッセージ(SMS)で検証コードを送り、そのコードを入力することで、カードが利用できるようになる。

もちろん、カード情報とiPhone本体のシリアル番号、Apple IDは紐づいているので、不正利用をすれば、すぐに身元が割れてしまうことになる。3人は、この問題をクリアするために、ApplePayサービスが始まってから3ヵ月間、さまざまな実験と試行を繰り返し、独自の方法を編み出した。

百数十台のiPhoneをレンタルして違法行為

iPhoneはAppleIDとiPhone本体を紐づける仕組みとなっている。一度、AppleIDとiPhoneが紐づいてしまうと、90日間は別のAppleIDを使用することができなくなる。そのため、3人は、レンタルしたiPhoneを使うことにした。レンタルしたiPhoneに、フリーメールアドレスを使って新規取得したAppleIDを登録、そこに違法入手したクレジットカードをApplePayに登録をして、限度額目一杯まで、闘魚直播のゲーム内通貨にチャージをする。

ほぼ3日間で限度額を使い切ってしまうので、別のiPhoneをレンタルして、そこに新しいAppleID、新しいクレジットカードを登録するということを繰り返していた。

また、海外で流出したクレジットカードを使うのも彼らの工夫だった。中国のApplePayは国内では銀行カード(デビットカード)しか対応していないが、外国人が自国のクレジットカードを登録したApplePayは、中国でも利用することができる。

デビットカードは、決済をすると、リアルタイムで銀行口座から決済される。しかし、クレジットカードの場合は月締めで、決済は1ヵ月に1回でしかない。デビットカードで犯行を行ってしまうと、リアルタイムで発覚をすることになり、銀行口座を凍結されてしまう可能性があるが、クレジットカードであれば、発覚は最短でも1ヵ月後なのだ。

3人は、昨年5月頃、犯罪手法を確立、闘魚直播で犯行を始めたが、6月に発覚したことを悟ると、YY直播、徳洲補克など同様のゲームサイトに犯行場所を次々と移していった。こうして、8ヵ月の間に、6000件のAppleIDを取得し、4000枚の流出クレジットカード情報を使い、1000万元(約1億6000万円)以上の売り上げを上げ、経費を差し引いた利益は300万元(約4800万円)になったという。

3日ごとに百数十台のiPhoneをレンタルするという大掛かりなもので、人手が足りず、20名ほどのアルバイトを雇って、作業にあたらせていた。全員が検察に送られ、詐欺罪とクレジットカード違法利用罪などで起訴される予定だ。

押収された100台を超えるiPhone。90日間は、別のAppleIDを紐づけることができないという制限をクリアするために、3日ごとにiPhoneをレンタルして犯行を重ねていた。約20名のアルバイトを雇い、作業にあたらせていたという。


100台を超えるiPhoneが押収された。犯行グループは約20名のアルバイトを雇い、作業を行わせいてた。画像は「央視網」より

ニュースで学ぶ中国語

 
苹果(pingguo):果物のリンゴのこと。IT関連では米アップルのことを指す。iPhoneは苹果手機、Macは苹果機、iCloudは苹果雲、アップルストアは苹果商店になる。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…