ymgerman / Shutterstock.com

アップルの裏をかく「36テクニック」で約1127億円の被害

牧野武文

June 26, 2017 08:00
by 牧野武文

半年ほど前から、中国で「36テクニック」と呼ばれるハッキング手法が広まっている。これはアップルのiTunes Store、App Storeなどのルールの裏をかき、架空の銀行カード(デビットカード)でアプリ内課金をし、ゲーム内通貨などを購入・転売するという手口だ。『21世紀経済網』の報道によると、被害総額は10億ドル(約1127億円)を超えると推定され、無視できない事態となりアップルも対策を始めたという。

少額決済ではカード認証を省略

アップルのiTunes Store、App Storeなどで、音楽やアプリを購入する、あるいはアプリ内課金をするとき、操作はスムースだ。多くの場合、Touch ID(指紋認証)を使うだけで支払処理が済む。

少額決済において実は、カード認証を省略しているから簡単なのだ。Apple IDにクレジットカードを登録している場合、本来であれば決済ごとにセキュリティコード(カード裏面の番号)を入力してカード認証をしなければならない。アップルは、このステップがあることでユーザー体験を損なうと考え、少額決済に限ってカード認証を省略している。

カード認証をしないということは、枠残高不足であっても、架空のカード番号であっても購入ができてしまうことになる。この場合は、次回になにかを購入する時に「前回のご購入に請求処理上の問題があります」というダイアログが現れ、前回の支払いを完結しない限り、以降の購入ができなくなる。

この段階で逃げてしまえば、前回の購入分はトクできてしまうことになるが、少額決済(設定価格は非公開だが、おそらく1000円以下)を1回分トクをする代わりに、ユーザーの社会的な信用度は著しく下がる。そのまま放置すると信用情報に事故情報が記載され、しばらくの間は新規のクレジットカード申請が拒否され、自動車ローンや住宅ローンの審査に落ちる可能性がでてくる。真っ当な消費者であれば、わずかな金額で自分の信用情報に傷をつけようとは考えないだろう。36テクニックは、このすきを突いた。

少額の決済を繰り返す

36テクニックに必要なのは、架空の銀行口座カード(デビットカード)だ。クレジットカードやデビットカードのカード番号は、一定のアルゴリズムに従って決められるので、いくらでも有効な番号を生成することができる。もちろん、生成した番号が実際に発行されているかどうかまではわからないが、整合性のあるカード番号であれば、「認証をしない少額決済」は、決済処理をしてしまう。

36テクニックが狙うのは、アプリ内課金だ。特にゲーム内通貨が狙われる。架空の銀行カードを紐付けたApple IDでゲーム内通貨を購入し、SNSを利用して、5割引から8割引という格安価格で転売する。

中国のApp Storeでは、40元(約650円)以下の決済が少額決済とみなされる。ただし、この40元という制限は、アップルが公表しているわけではなく、短時間に連続して決済を行うと、カード認証が必要になることもある。

36テクニックを使う犯罪者たちは、試行錯誤の経験から、カード認証のフラグが立たない決済方法を割り出した。まず30元(約490円)を決済し、続いて6元(約97円)を決済する。それから1時間以上経ってから、再び30元と6元を決済する。これを繰り返していけば、永遠にカード認証が行われないので、架空の銀行カードであっても、ゲーム内通貨が購入できるという。

36テクニックの最大の利点は、発覚までに時間がかかるということだ。アップル側が、紐づけられた銀行口座に対して精算の要求を出すのが、どのタイミングであるかは明らかにはされていないが、少なくとも即時、毎回ではなく、最長の場合、月締めになっているようだ。

この精算時にカードに問題があることが発覚すると、アップルはそのApple IDで次回の購入ができなくなる措置をとるが、ゲームアプリ運営会社に通知をすることは特にしない。アップルとアプリ運営会社の精算は、3ヵ月に1回なので、その時点で、ようやくアップルからアプリ運営会社に対して、支払いができないことが通知される。

つまり、36テクニックを使えば、カードの不正利用が発覚するのは最長で1ヵ月後、ゲームアプリ運営会社がゲームアカウントを凍結するのは3ヵ月後ということになる。ゲーム内通貨は、日本のゲーム運営会社の多くが、他人に送ったり、転売することを規約により禁止しているが、中国では自由に他のアカウントに送ることができる。ゲームアカウントが凍結される前に、ゲーム内通貨を別のアカウントに移してしまえば問題ない。

ファミリー共有で回避

21世紀経済網の取材によると、このような不正利用によるゲーム内通貨の詐取は、全体の15%から20%にもなるという。もし、この数字がほんとうであれば、中国のiOSゲームのアプリ内課金による総売上は50億ドルを超えているので、不正利用により10億ドル(約1130億円)が失われている計算になる。

アップルもさまざまな対策を取っている。「40元以下が少額決済」という判断基準も絶対ではなく、課金頻度によっては短期間で不正利用が発覚し、Apple IDが凍結されてしまうことがある。

そこで、36テクニックを利用する犯罪者たちも、対抗手段を考え出した。それはファミリー共有を利用する方法だ。ファミリー共有は、AppleIDの支払いを家族でまとめることができる機能。5人までの家族を登録することができ、合計6人分の支払いをまとめることができる。一般には、父親が主IDとなり、自分のApple IDにカードを紐づけ、家族のApple IDを副IDとして、ファミリー共有する。家族の副IDでアプリ内課金をした場合は、主IDのカードから引き落とされる。このファミリー共有は、ほんとうに家族であるかどうかの証明は不要で、誰でもファミリー共有が可能だ。そのため、恋人同士でファミリー共有をしている人も多い。

犯人たちは、主IDに架空の銀行カードを紐づけ、5つの副IDから不正利用を行う。不正利用が発覚すると、副IDはアップルにより凍結される。しかし、副IDが凍結をされても、主IDは凍結されないのだ。凍結された副IDをファミリー共有から外して、また別のApple IDをファミリー共有し、不正利用を続ければいいだけだ。

大規模な犯罪集団は、約400台の中古iPhoneをラックに並べ、作業員が次々と操作をして、ゲーム内通貨を架空カードで購入しているという。


架空の銀行カードとファミリー共有で、詐欺を働いている現場写真。効率を考えて、約400台のiPhoneをラックに並べ、作業員が次から次へと操作をしていく。1回の金額が30元、6元と小さいので、作業効率を上げる必要があったという(FREEBUF.COMより)

アップルは少額決済でも認証を行なう

中国大手IT企業「テンセント」のネットセキュリティ活動チーム「騰訊守護者計画」の情報によると、最近、アップルはさらに対策を講じたという。それは、新規に取得したApple IDは、一定期間、少額決済であってもカード認証を行うようにするという(実施時期などの詳細は不明。騰訊守護者計画の情報による)。そのため、新規取得したAppleIDでは、少額決済でもカード認証が行われるため、不正利用が即時に発覚をすることになった。ユーザー体験を低下させることになるが、アップルもこの36テクニックがこれ以上広がることはまずいと判断したのだろう。

しかし、サイバー犯罪者たちはこれにもすでに対抗策を取りつつあるようだ。闇市場で「古いApple ID」の価格が高騰し始め、取引が活発になっているというのだ。取得してから時間が経っているApple IDであれば、このような制限に引っかからないことを利用するのためだと思われる。

これを見越して、大量のフリーアドレスと大量のApple IDを自動取得するツールをつくり、今からApple IDの在庫を溜め込むという、先行投資をしている犯罪者もいるという。

36テクニックとアップルの戦いはすぐには終結しそうにもない。闇市場で古いApple IDの在庫が枯渇をすると、次に狙われるのは、使われているApple IDの乗っ取りだろう。また、勝手にファミリー共有されてしまうという事態も起こるかもしれない。Apple IDのパスワードやセキュリティ設定をもう一度見直しておくことをお勧めしたい。

ニュースで学ぶ中国語

充値(chongzhi):チャージ。中国ではクレジットカードがなかなか普及をしなかったために、電子マネー方式の交通カードやアリペイなどのモバイルペイメントが登場すると、一気に普及をした。そのため、新語である「充値」は、急速に誰でも知っている言葉になった。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…