ymgerman / Shutterstock.com



アップルの裏をかく「36テクニック」で約1127億円の被害

牧野武文

June 26, 2017 08:00
by 牧野武文

半年ほど前から、中国で「36テクニック」と呼ばれるハッキング手法が広まっている。これはアップルのiTunes Store、App Storeなどのルールの裏をかき、架空の銀行カード(デビットカード)でアプリ内課金をし、ゲーム内通貨などを購入・転売するという手口だ。『21世紀経済網』の報道によると、被害総額は10億ドル(約1127億円)を超えると推定され、無視できない事態となりアップルも対策を始めたという。

少額決済ではカード認証を省略

アップルのiTunes Store、App Storeなどで、音楽やアプリを購入する、あるいはアプリ内課金をするとき、操作はスムースだ。多くの場合、Touch ID(指紋認証)を使うだけで支払処理が済む。

少額決済において実は、カード認証を省略しているから簡単なのだ。Apple IDにクレジットカードを登録している場合、本来であれば決済ごとにセキュリティコード(カード裏面の番号)を入力してカード認証をしなければならない。アップルは、このステップがあることでユーザー体験を損なうと考え、少額決済に限ってカード認証を省略している。

カード認証をしないということは、枠残高不足であっても、架空のカード番号であっても購入ができてしまうことになる。この場合は、次回になにかを購入する時に「前回のご購入に請求処理上の問題があります」というダイアログが現れ、前回の支払いを完結しない限り、以降の購入ができなくなる。

この段階で逃げてしまえば、前回の購入分はトクできてしまうことになるが、少額決済(設定価格は非公開だが、おそらく1000円以下)を1回分トクをする代わりに、ユーザーの社会的な信用度は著しく下がる。そのまま放置すると信用情報に事故情報が記載され、しばらくの間は新規のクレジットカード申請が拒否され、自動車ローンや住宅ローンの審査に落ちる可能性がでてくる。真っ当な消費者であれば、わずかな金額で自分の信用情報に傷をつけようとは考えないだろう。36テクニックは、このすきを突いた。

少額の決済を繰り返す

36テクニックに必要なのは、架空の銀行口座カード(デビットカード)だ。クレジットカードやデビットカードのカード番号は、一定のアルゴリズムに従って決められるので、いくらでも有効な番号を生成することができる。もちろん、生成した番号が実際に発行されているかどうかまではわからないが、整合性のあるカード番号であれば、「認証をしない少額決済」は、決済処理をしてしまう。

36テクニックが狙うのは、アプリ内課金だ。特にゲーム内通貨が狙われる。架空の銀行カードを紐付けたApple IDでゲーム内通貨を購入し、SNSを利用して、5割引から8割引という格安価格で転売する。

中国のApp Storeでは、40元(約650円)以下の決済が少額決済とみなされる。ただし、この40元という制限は、アップルが公表しているわけではなく、短時間に連続して決済を行うと、カード認証が必要になることもある。

36テクニックを使う犯罪者たちは、試行錯誤の経験から、カード認証のフラグが立たない決済方法を割り出した。まず30元(約490円)を決済し、続いて6元(約97円)を決済する。それから1時間以上経ってから、再び30元と6元を決済する。これを繰り返していけば、永遠にカード認証が行われないので、架空の銀行カードであっても、ゲーム内通貨が購入できるという。

36テクニックの最大の利点は、発覚までに時間がかかるということだ。アップル側が、紐づけられた銀行口座に対して精算の要求を出すのが、どのタイミングであるかは明らかにはされていないが、少なくとも即時、毎回ではなく、最長の場合、月締めになっているようだ。

この精算時にカードに問題があることが発覚すると、アップルはそのApple IDで次回の購入ができなくなる措置をとるが、ゲームアプリ運営会社に通知をすることは特にしない。アップルとアプリ運営会社の精算は、3ヵ月に1回なので、その時点で、ようやくアップルからアプリ運営会社に対して、支払いができないことが通知される。

つまり、36テクニックを使えば、カードの不正利用が発覚するのは最長で1ヵ月後、ゲームアプリ運営会社がゲームアカウントを凍結するのは3ヵ月後ということになる。ゲーム内通貨は、日本のゲーム運営会社の多くが、他人に送ったり、転売することを規約により禁止しているが、中国では自由に他のアカウントに送ることができる。ゲームアカウントが凍結される前に、ゲーム内通貨を別のアカウントに移してしまえば問題ない。

ファミリー共有で回避

21世紀経済網の取材によると、このような不正利用によるゲーム内通貨の詐取は、全体の15%から20%にもなるという。もし、この数字がほんとうであれば、中国のiOSゲームのアプリ内課金による総売上は50億ドルを超えているので、不正利用により10億ドル(約1130億円)が失われている計算になる。

アップルもさまざまな対策を取っている。「40元以下が少額決済」という判断基準も絶対ではなく、課金頻度によっては短期間で不正利用が発覚し、Apple IDが凍結されてしまうことがある。

そこで、36テクニックを利用する犯罪者たちも、対抗手段を考え出した。それはファミリー共有を利用する方法だ。ファミリー共有は、AppleIDの支払いを家族でまとめることができる機能。5人までの家族を登録することができ、合計6人分の支払いをまとめることができる。一般には、父親が主IDとなり、自分のApple IDにカードを紐づけ、家族のApple IDを副IDとして、ファミリー共有する。家族の副IDでアプリ内課金をした場合は、主IDのカードから引き落とされる。このファミリー共有は、ほんとうに家族であるかどうかの証明は不要で、誰でもファミリー共有が可能だ。そのため、恋人同士でファミリー共有をしている人も多い。

犯人たちは、主IDに架空の銀行カードを紐づけ、5つの副IDから不正利用を行う。不正利用が発覚すると、副IDはアップルにより凍結される。しかし、副IDが凍結をされても、主IDは凍結されないのだ。凍結された副IDをファミリー共有から外して、また別のApple IDをファミリー共有し、不正利用を続ければいいだけだ。

大規模な犯罪集団は、約400台の中古iPhoneをラックに並べ、作業員が次々と操作をして、ゲーム内通貨を架空カードで購入しているという。


架空の銀行カードとファミリー共有で、詐欺を働いている現場写真。効率を考えて、約400台のiPhoneをラックに並べ、作業員が次から次へと操作をしていく。1回の金額が30元、6元と小さいので、作業効率を上げる必要があったという(FREEBUF.COMより)

アップルは少額決済でも認証を行なう

中国大手IT企業「テンセント」のネットセキュリティ活動チーム「騰訊守護者計画」の情報によると、最近、アップルはさらに対策を講じたという。それは、新規に取得したApple IDは、一定期間、少額決済であってもカード認証を行うようにするという(実施時期などの詳細は不明。騰訊守護者計画の情報による)。そのため、新規取得したAppleIDでは、少額決済でもカード認証が行われるため、不正利用が即時に発覚をすることになった。ユーザー体験を低下させることになるが、アップルもこの36テクニックがこれ以上広がることはまずいと判断したのだろう。

しかし、サイバー犯罪者たちはこれにもすでに対抗策を取りつつあるようだ。闇市場で「古いApple ID」の価格が高騰し始め、取引が活発になっているというのだ。取得してから時間が経っているApple IDであれば、このような制限に引っかからないことを利用するのためだと思われる。

これを見越して、大量のフリーアドレスと大量のApple IDを自動取得するツールをつくり、今からApple IDの在庫を溜め込むという、先行投資をしている犯罪者もいるという。

36テクニックとアップルの戦いはすぐには終結しそうにもない。闇市場で古いApple IDの在庫が枯渇をすると、次に狙われるのは、使われているApple IDの乗っ取りだろう。また、勝手にファミリー共有されてしまうという事態も起こるかもしれない。Apple IDのパスワードやセキュリティ設定をもう一度見直しておくことをお勧めしたい。

ニュースで学ぶ中国語

充値(chongzhi):チャージ。中国ではクレジットカードがなかなか普及をしなかったために、電子マネー方式の交通カードやアリペイなどのモバイルペイメントが登場すると、一気に普及をした。そのため、新語である「充値」は、急速に誰でも知っている言葉になった。




ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…