中国ホワイトハッカーが選ぶ「中国黒産業5大事件」2017年版

牧野武文

March 26, 2018 11:00
by 牧野武文

中国では、企業プロモーションなどによる優待を大量にかき集めるビジネス=羊毛党行為が頻繁に起き、企業のプロモーション効果を薄めてしまっている。深圳永安在線科技が運営するホワイトハッカーチーム「威脅猟人」は、2017年に中国で発生した重要な5大事件を発表した

THE ZERO/ONEで取り扱った事件も多いが、中国のホワイトハッカーチームが、どの事件を重要視しているのか判明し興味深い。

その1 東鵬特飲羊毛党事件

羊毛党とは、企業サイトなどがプロモーションで配布する優待券、ポイントなどをかき集めるビジネス。スマートフォンやPCを何千台も用意、あるいはエミュレーターを使って、大量のアカウントを作成し、優待をかき集めていく。中国で流行したテレビドラマで、羊の管理の仕事をしている女性が、少しずつ羊の毛を抜いていき、夫のセーターを編んだというエピソードに由来している。威脅猟人は、昨年、スマートフォンの通信先の解析を行い、中国全体で4000万台のスマートフォンが羊毛党行為に使われていて、約40億元(約670億円)のキャンペーン原資が羊毛党たちに流れているという推測を出している。

中国政府は、羊毛党事件やテロリスト対策などから、携帯電話番号の完全実名化を施行した。そのため、羊毛党たちが何千台もの携帯電話を用意して、優待をかき集めるということができなくなった。

そこで東鵬特飲羊毛事件が起きた。東鵬特飲は飲料メーカーで、キャンペーンのために大量のQRコードを飲料瓶に貼付をした。これをスマホでスキャンをすると、紅包がもらえる。紅包は、スマホ決済で送金をする仕組みのひとつで、開いたときに、金額が一定の確率で決まるというとものだ。お年玉やくじの感覚があり、正月に配るお年玉や企業がキャンペーンに使うことが多い。東鵬特飲の場合、最低で0.68元(約11円)から最高で888元(約1万5000円)のいずれかが当たるという紅包だった。

このQRコードが大量に販売されるという事件が起きた。0.65元で販売されたが、最低でも0.68元があたり、確率は低いものの888元が当たる可能性もある。問題は、このQRコードがどこから調達されたのかということだ。はっきりとわかっているのは、廃品回収業社が収集したもので「廃品QRコード」と呼ばれているものだ。飲料瓶を回収した業者が、まだスキャンされていないQRコードを収集して販売をしたというもの。

さらには、物流の過程でまだスキャンされていないQRコードが商品よりも先に流出をして販売されたという話もある。なぜなら、市中に東鵬特飲の飲料の多くに、貼付されているはずのQRコードが貼られていなかったからだ。同じようなキャンペーンは、ペプシコーラを始め、数多くの飲料メーカーが行っている。他メーカーは、同じ事件が起きるのではないかと、このようなキャンペーンに慎重になっているという。


ネットで出回っている東鵬特飲のキャンペーンQRコードシール。流通の過程で、業者が横流しをし、このQRコードを販売したのではないかと疑惑が持たれている。画像は林神:揭秘各类CDK二维码背后暴利产业链!より


ネットで、東鵬特飲のキャンペーンQRコードシールの売買が持ちかけられた状況。ネット決済で簡単に送金ができ、QRコードは画像で送れるという技術の発達が、羊毛党行為を簡単にしている。

その2 アップル36事件

iPhoneのApp Storeなどで決済をするとき、中国の場合は40元(約670円)以下であれば、紐づけているカードの認証を省略することになっている。ここに目をつけたサイバー犯罪者たちは、架空の銀行カードを捏造しフリーメールアドレスを使って、大量のApple IDを取得。これでApp Storeなどで6元と30元のアプリ内課金をしまくった。

銀行カードは架空のものだが、カード認証が行われないので、決済ができてしまう。被害を受けるのはアプリ内課金をしているアプリ発売元だが、アップルの精算が四半期ごとなので、不正が発覚するのは最長で3ヵ月後ということになる。

アップルは、このような不正行為が行われたApple IDを凍結することで対抗したが、ファミリー共有の隙を突かれてしまった。ファミリー共有は、ひとつの主Apple IDに、5人までの家族用副Apple IDを紐づけることができる機能。この6つのApple IDで買い物をすると、主IDに紐付けたカードから決済される。

主IDに架空の銀行カードを紐付け、副IDから6元と30元の課金をすると、カード認証なしに買い物ができてしまう。この不正が発覚すると、アップルは問題の副IDを凍結する。しかし、なぜか主IDの方は凍結をしない。そこで、凍結された副IDをファミリー共有から外して、新たに作成したApple IDを副IDにすれば、永遠に架空のカードで36元の買い物が続けられることになる。

大規模な犯罪集団は、数百台のiPhoneをラックに並べて、架空の銀行カードで買い物をし続けたという。

その3 滴滴出行偽装登録事件

滴滴出行は、中国のライドシェア企業。いわゆる中国版ウーバーだ。一般のドライバーが自分と自分の車を登録すると、タクシー業務をして、お金を稼ぐことができるようになる。ただし質の悪いドライバーが登録されることを防ぐために、審査は厳しい。北京であれば、免許を取得してから一定年数経っていること、過去に重大事故の記録がないこと、北京で免許を取得し、自動車も北京に登録をしていることなどが審査される。

2017年9月、滴滴出行は広東省の公安に、数十万件のドライバーの不正登録がなされたという被害届を出した。

この不正登録を行ったのは、地方の滴滴出行代理店で働く職員たちだった。正規のドライバー情報を閲覧できることを利用して、すでに審査に通ったドライバー情報の名前や顔写真を差し替えるだけで、新たなドライバー情報を生成する。この方法で、滴滴出行のドライバー審査に通らない人たちの代理申請を小遣い稼ぎで行った。

だいたい300元(約5000円)から500元(約8400円)の手数料で、偽造情報による登録を請け負ったという。免許もない、車も所有していないという者まで、手数料を支払って、ドライバー登録を行った。目的は、ドライバーの紹介報奨金を得ることだった。

この時期、滴滴出行はドライバーを増やすために、既存のドライバーが新たなドライバーを紹介して登録させると、218元(約3600円)の紹介料と紹介したドライバーの8回分の報酬の30%を報奨金として渡すというキャンペーンを行っていた。紹介するドライバーは何人であってもかまわない。

そこで、ドライバーとして働く意思がなくてもドライバー登録をし、さらに働く意思がないドライバーを探して登録をさせる。車がなくても、代理申請を使って登録させる。登録したドライバーは、218元の報奨金を目的にさらにドライバーを登録させるという、ちょっとしたネズミ講状態になっていった。

このような照会料目当ての不正登録が積もりに積もって数十万人になってしまったのだ。現在では、このような不正登録ドライバーは登録抹消されている。

その4 ウーバー顧客情報漏洩事件

一昨年10月、サイバー犯罪者の攻撃により、ウーバーのドライバーと顧客の個人情報5700万人分が流出した。しかも、そのことを1年余りにわたって隠蔽していただけでなく、サイバー犯罪者集団に対して、流出情報を外部に漏らさないようにするため10万ドル(約1000万円)を支払うという取引をしていたことが大きな問題になった。

流出した個人情報は、米国だけでなく、世界各国のものであり、中国でも、中国人の個人情報が流出したのではないかと大きな話題になった。

中国では滴滴出行とウーバーが激しい競争を繰り広げていたが、2016年8月に、ウーバーチャイナを滴滴出行に売却するという形で決着をした。その後も、ウーバーは中国内でサービスを行っていたが、この問題が発覚したことで、ウーバーの利用者は激減。完全に滴滴出行に吸収されていくことになった。

その5 教科書アダルトサイトリンク事件

中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用として掲載されたURLが、アダルトサイトへのリンクだったことから、教育界が大揺れになった事件。このアダルトサイトを作成したのは、武漢市のスタートアップ「武漢雷勝科技有限公司」。雷勝科技はウェブサイト構築を請け負う企業だったが、経営に行き詰まり、アダルトサイトの運営を企画した。

しかしアダルトサイトの運営は、中国では懲役刑まである違法行為。そこで、雷勝科技は、見た目はアダルトサイト、でも中身は健全サイトという騙しサイトを作ろうとした。トップページは、半裸の女性とテレビ電話ができるように見えるが、会費を払ってアクセスをすると、中身は古代中国の詩歌と散文が表示されるというものだった。当局に咎められた時に「中身は真面目なサイトですよ」という言い逃れをしようと考えたようだ。

ところが料金(月9.9元(約160円)、ダイアモンド会員は月72元(約1200円))支払ってアクセスした利用者は騙されたと怒る。そこで、サイトにネット消費者保護協会といった架空の組織のバナーを表示し、通報窓口の電話番号とメールアドレスを掲示した。怒った利用者はそこをクリックしてクレームを入れてくるだろう。しかし、もちろん、この架空の通報窓口は雷勝科技のもので、ただ放置をされるだけだ。

このサイトは、セキュリティもいい加減だった。中身の古代詩歌散文のページは、トップページからログインしなくても、検索をして、直接アクセスもできるようになっていた。どうやら教科書副教材の編者は、検索をして、このページを発見し、参考URLとして掲載してしまったようなのだ。生徒たちがそのURLを入力してトップページにアクセスすると、アダルトサイトのトップページが現れる。ここから問題になり、中国教育部(文部科学省に相当)は、この副読本を回収させ、以後、教科書や副読本にURLやQRコードの掲載を禁止する通達を出した。

プロモーションを潰す「黒産」

その1であげた「東鵬特飲羊毛党事件」ようなものは日本にもある。例えば、ECサイトである商品の大幅値引きセールがある、あるいは定価での限定販売が行われると、それを大量購入し、個人取引サイトで高値転売をして利ざやを稼ぐといったことは日常的に行われている。しかし、これはモラル的に問題とされても、違法行為ではない。また、多くは個人が小遣い稼ぎ感覚でやっているだけだ。だが、中国ではこれを業として行う者が続々と登場し、黒産(黒灰産業の略)を形成している。数千台のPCやスマホを用意し、システムを構築し、大掛かりに行うのだ。その規模が大きすぎるため、企業の優待プロモーションの効果が現れない、正直に利用している者が損をするという状態になっている。

中国政府は、この状況を変えるため、携帯電話番号の実名登録制を施行した。数千台のスマホを用意して、羊毛党行為を行うというのは簡単にはできない状態になった。しかし、サイバー犯罪者たちは、次の手を考えている。海外でまだ販売されているプリペイドSIMを利用したり、拠点そのものを海外に移し、国際アクセスで羊毛党行為をおこなおうとする集団もいる。まだまだ黒灰産業との戦いは続きそうだ。

ニュースで学ぶ中国語

 
黒産(heichan):黒灰産業の略。ブラック産業、グレー産業のこと。羊毛党行為で、優待をかき集めること事態は違法ではない。しかし、大量の不正携帯電話番号を利用することは違法。中国ではこのような黒から灰色にわたる行為が産業化している。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…