銀行口座が空っぽ!? 中国で頻発するスマホを狙ったサイバー詐欺

牧野武文

May 15, 2017 08:00
by 牧野武文

猟網(liewang、リエワン)平台は、『2016年ネットワーク詐欺情勢研究報告』を公開した。猟網平台は、ネット詐欺を撲滅するために、中国公安部とセキュリティ企業「360」が合同で運営しているネット詐欺通報プラットフォーム。その猟網平台が、2016年のネット詐欺事件の概要をまとめた。

ワンタイムパスワードで「安全」がギリギリ保たれる

報告書によると、2016年に猟網平台に通報があった事件件数は2万623件。累計被害総額は、1.95億元(約31億円)、被害者一人あたりの平均被害額は、9471元(約15万円)となった。これは猟網平台に通報があったものだけで、中国全体では、中国インターネット協会の推計によると、被害総額は915億元(約1兆4700億円)になる。

中国では、ECサイトや銀行口座のアカウントとパスワードの流出が桁違いに多い。サイバー犯罪集団が摘発されると、押収される個人情報データは数億件というのは珍しくない。

常識で考えれば、これだけ流出が多いと、まっとうな経済活動が崩壊してしまうはずだ。しかし、そうならないのは携帯電話のショートメッセージを使ったワンタイムパスワード方式が定着しているからだ。ネット口座で振込などを行うと、登録してある携帯電話に4桁から6桁の検証コードがショートメッセージで送られてくる。この検証コードを入力しないと振込が完了しない。登録した携帯電話の番号を変更するときにも、検証コードが必要になるので、犯人が違法入手したアカウントとパスワードで資金を移動しようとしても、検証コードを手に入れることができない。

覚えのない検証コードが送られてきたら、自分ではないだれかが口座にアクセスしたということだから、パスワードを変更してしまえば、安全は確保される。このようなギリギリの線で、中国のネット銀行の安全性は保たれている。

SIMカードを利用した犯罪

ところが、ここ数年横行しているのが、SIMカードの再発行を利用した犯罪だ。携帯電話を紛失した場合、キャリアショップに行けば、SIMカードを再発行してもらえる。再発行してもらったSIMカードを別の携帯電話に入れれば、紛失した携帯電話と同じ感覚で使うことができ、電話番号も変わらない。古いSIMカードは再発行をした瞬間に無効になる。

ただし、悪意のある別人が偽造身分証などでSIMカードの再発行をしてしまうと、本人の携帯電話は通話もメッセージもできない死亡状態になってしまう。銀行から送られてくる検証コードを記載したショートメッセージも、当然新しいSIMカード=犯人の携帯電話に送られることになる。

これを利用して、被害者になりすましてSIMカードを再発行してもらい、携帯電話を乗っ取り、検証コードを手に入れ、銀行口座の資金を別の口座に移してしまうという犯罪が起きている。

大量にやってくるショートメッセージと迷惑電話

『2016年ネットワーク詐欺情勢研究報告』では、この「個人情報+SIMカード再発行」の手口は、近年のネット詐欺の典型例だとして、具体的な事例をいくつも紹介している。

2016年5月7日の午後、北京に住む王さんの携帯電話がやかましく鳴り始めた。大量の迷惑ショートメッセージが入り始め、大量の迷惑電話もかかってきた。夜までにメッセージは数百通、電話も100件近くがかかってきた。

翌朝になっても大量の迷惑メッセージが入り続けたので、王さんは、近くの中国移動(China Mobile)のショップに行き、現状を説明して相談をした。

ショップ側では、とにかくSIMカードを新しくしてみるという対応をした。しかし、あくまでも対症療法なので、中国移動の担当部署に情報をあげ、通話記録などを調べた上で、48時間以内に対応策を知らせるということになった。

SIMカードを新しくしても、状況は変わらず、相変わらず大量のメッセージと電話が入ってきた。しかし、家に帰る途中で、メッセージと通話がピタリと止んだ。それだけでなく、圏外になり、電話もかけられない状態になった。携帯電話の電源を入れ直してみたり、SIMカードを入れ直してみたりしたが状況は変わらない。SIMカードが無効になってしまったようだ。
王さんは慌てて家に帰って、Wi-Fiに接続をして自分の銀行口座にアクセスしてみた。すると、5万元(約80万円)のファンドが解約され、上海の法人口座に移されていた。

電源を切ってもらうことが目的

犯人は闇市場から王さんの個人情報と銀行口座のアカウント、パスワードを入手し、5万元の資金に目をつけた。王さんの携帯電話番号に大量の迷惑メッセージを送りつけるだけでなく、闇ネットワークにも情報を流した。これで、王さんの携帯電話には大量の迷惑メッセージと迷惑電話が入ることになる。

犯人が期待したのは、携帯電話がうるさいからと、電源を切ってもらうことだった。その間に、SIMカードの再発行をすれば、被害者は自分のSIMカードが無効になったことに気がつかない。それから銀行口座を操作すれば、検証コードは、新しいSIMカードを入れた携帯電話に送られることになる。王さんが、キャリアショップに行ったことは誤算だった。

王さんがキャリアショップで相談しているのとほぼ同時刻に、犯人は北京市郊外の別のキャリアショップで、携帯電話を紛失したと言って、偽造した王さんの身分証を示し、SIMカードを再発行してもらった。それを自分の携帯電話に入れれば、王さんの携帯電話を乗っ取ったことになる。それから、王さんの銀行口座にアクセスをして、5万元の資金を移す。ショートメッセージで検証コードが送られてくるが、それは犯人の携帯電話に届くので、普通に入力をして資金を移動した。あとは、SIMカードを抜いて、どこかに捨てればいいだけだった。

ターゲットから検証コードを聞き出す

もうひとつの典型例は、ソーシャルな手法で、検証コードを本人から聞き出すというものだ。

2016年4月8日、仕事が終わって帰宅するため地下鉄に乗っていた張さんのスマートフォンに、突然「中広財経」という有料メール新聞を購読したというメッセージが入ってきた。もちろん、張さんはそんなものを申し込んだ覚えはなかった。

するとすぐにキャリアの中国移動からメッセージが入った。「中広財経メール新聞の購読を受け付けた」という内容ものと、「資金が50元不足しているので、チャージをしてほしい」というものだった。

このメール新聞は、キャリアの中国移動が運営しているもので、購読を申し込むとあらかじめチャージしてある資金から、購読料が自動的に引き落とされていく。王さんは、このサービスを利用するつもりはなかったので、もともとチャージをしていなかった。

すると、今度は「あなたは中広財経を購読しました。半年で40元です。3分以内の取消は無料です。取消は”取消+検証コード”と返信してください。中国移動」というメッセージが届いた。

一方で、中国移動から、「検証コードは××××××です」というメッセージが届いたので、王さんは「取消+××××××」というメッセージを返信した。すると、しばらくして、携帯電話が圏外となり、一切の機能が使えなくなった。SIMカードが無効になってしまったようだ。

慌てて家に帰り、PCからアリペイ、招商銀行、工商銀行、中国銀行の自分の口座にアクセスしてみた。どれもパスワードのエラーが出てアクセスできない。夜になっていたので、翌朝、各銀行の顧客センターに問い合わせをすると、どの銀行口座もすべて資金が移動され、空っぽになっていた。

勘違いを利用する

犯人は、闇市場から、張さんの銀行口座のアカウントとパスワード、さらにキャリア中国移動のウェブサービスのアカウントとパスワードも手に入れていた。中国移動のウェブサービスでは、メール新聞の購読申し込みができるほか、SIMカードの再発行サービスもできるようになっていた。自宅のPCにSIMカードライターを接続し、そこに白ロムと呼ばれるSIMカードを入れる(家電店で簡単に購入できる)。そして再発行サービスを使えば、ショップに足を運ばずに、自宅でSIMカードをつくれる。もちろん、このサービスを使うには、携帯電話に送られる検証コードが必要になる。これをいかに手に入れるかが問題になる。

そこで、犯人は「139郵箱」というサービスを使った。PCで携帯電話のショートメッセージをやり取りできるサービスだ。ここからまず、張さんの携帯電話に「中広財経を購読した」というメッセージを送った。

そして、張さんの中国移動ウェブサービスにアクセスし、中広財経の購読を勝手に申し込む。有料メール新聞を申し込むと、中国移動から張さんの携帯電話に、「購読しました」「資金が不足しています」というメッセージが届く。これは、中国移動からの正式なメッセージだ。

次に、犯人は、SIMカードの再発行を申しこむ。すると、中国移動は張さんの携帯電話に「SIMカード再発行のための」検証コードを送信する。同時に犯人は、139郵箱経由で「購読取り消しをするなら、取消+検証コードを返信」というメッセージを送る。

張さんは、中国移動から検証コードを受信したが、これはSIMカード再発行のための検証コードだ。しかし、混乱している張さんは、メール新聞の購読を取り消すための検証コードだと勘違いをしてしまい、「取消+検証コード」という返信をしてしまう。犯人は、139郵箱に返ってきたメッセージを読めば、SIMカード再発行の検証コードがわかる。

これで、張さんの携帯電話を乗っ取ることができるので、張さんの銀行口座にアクセスし、資金を移動しただけだった。

猟網平台では、意図しないSIMカード再発行の検証コードが届いたときは、すぐにキャリアに連絡をして、SIMカードの凍結を求めるべきだとしている。それからPCから銀行口座にアクセスをし、パスワードを変更する。ここまでの対処をしておいてから、ショップに行き対応を求めるべきだとしている。

また、ネットから利用できる口座には、当座の資金のみを置くようにして、大金を入れてある銀行口座は、ネットアカウントをあえて取らず、ネットからはアクセスできないようにしておくことも重要だと助言している。

この「個人情報+SIMカード再発行」の手口は、今年になっても、一向に減少する傾向が見えてきていない。


犯人が被害者に送った偽装メッセージ。メール新聞の購読申し込みを受け付けたというものだった。「TD」というのは取消の意味で、中国ではメッセージにコマンドを返信すると、操作ができる仕組みが普及している。
『2016年ネットワーク詐欺情勢研究報告』より


中国移動からの正式なメッセージ。最後の6桁の検証コードは、SIMカード再発行のためのものだったが、その上に、メール新聞に関するメッセージが並ぶため、被害者は、メール新聞取消のための検証コードだと勘違いをしてしまう。
『2016年ネットワーク詐欺情勢研究報告』より


犯人が最後に送ったメッセージ。「3分以内の取消は無料」と、考える時間を与えない。被害者は犯人に対して、検証コードを入れたメッセージを返信してしまう。
『2016年ネットワーク詐欺情勢研究報告』より

ニュースで学ぶ中国語

平台(pingtai):プラットフォーム。猟網平台などの機関の名前に使われる他、アンドロイド、iOSのようなOS




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…