Shutterstock.com

アリペイの盲点を突いた男に懲役5年

牧野武文

May 15, 2018 08:00
by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。

アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チームが対応し、2段目、3段目と突破をしている間に撃退をするというものだ。

あくまでもネットワーカーたちが語っていることなので、どこまで正確な話なのかは不明だが、現実に、アリペイの中核システムが攻撃をされ、残高情報が改竄されたり、あるいは口座情報が漏洩したりという事故は起きていない。

2日で1700万円の荒稼ぎ

しかし、周辺システムの脆弱性を利用されることは何度か起きている。特に不正な口座が作成されてしまうことはたびたび起きており、詐欺犯が詐取した資金を不正口座に送金し、そこから銀行口座に転送をして現金化する事件が起きている。
広西省余姚(よよう)市の20代男性の陳某(仮名)は、このような周辺システムの脆弱性を利用して、わずか2日間で100万元(約1700万円)を荒稼ぎした。

陳某が利用したのは、アリペイの「紅包」という仕組みだった。紅包はアリペイ上でお年玉を送ることができる機能で、企業などのプロモーションによく使われる。例えば、1等1万元×1本、2等1000元×10本、3等10元×1万本などと、あらかじめ額と本数を設定しておくことができ、消費者が専用のQRコードをスキャンすると、いずれかの額の紅包が受け取れる。企業側は、あらかじめ金額と本数を設定し、資金をその口座に入金しておけばいいだけだ。

この紅包は、羊毛党と呼ばれる人たちから狙われる。架空口座を大量に作り、紅包用のQRコードをスキャン。紅包を受け取ると、チリも積もれば山となるで、大きな収入となる。

大量に手に入れるのは大変

問題は、大量の架空アリペイアカウントを用意しなければならないことだ。大量の携帯電話と大量の偽造身分証が必要になり、素人にはこれが用意できない。すでに中国では、携帯電話を購入するときに身分証の提示が必要になっており、キャリアごとに購入できる携帯電話回線の本数が数本に制限されている。

また、ひとつの口座に入る紅包は、5元(約86円)、10元といった少額が一般的で、これをひとつの口座に送金してまとめ、さらに銀行口座に送金して現金化するという作業も必要になる。

このような作業は、PC上の携帯電話エミュレーターを使い、自動化をしているが、それでも手間がかかる作業であることには変わりない。

企業キャンペーンに紅包を利用する場合、ウェブ、チラシなどのQRコードで、まず利用者を参加申請ページに誘導する。ここに携帯電話番号などを入力すると、QRコードが表示されるので、これをスキャンするとアリペイアカウントが自動的に送信され、紅包がアリペイ内に送られてくる。これを開くと、表示されている金額がチャージされる。

携帯電話番号を入力させるのは、同じ人が何度も紅包を取得できないようにするためだ。厳密にやるには、一度紅包を取得したかどうかをアリペイのアカウントで判別するべきだが、電話番号を使った方が簡単だ。電話番号の桁数、エリアコードなどで、その携帯電話番号が実在可能であるかどうかをチェックして、あとはリスト化し、このリストに登録されていたら、紅包が取得できないようにするだけでいい。

本来なら、入力した携帯電話番号の真正性をチェックするときに、アリペイの登録情報にある携帯電話番号と同じ番号であるかどうかのチェックをすべきで、多くの紅包サイトではそのような処理を行っている。

桁数しか見ていないアカウント

しかし陳某は、このチェックがずさんな紅包サイトがあることに気がついた。携帯電話番号のチェックをせずに、ただリスト化してしまっているため、次に別の番号を入力すると再度、紅包がもらえてしまうのだ。さらに、実在可能な携帯電話番号であるかどうかのチェックもしていないようで、電話番号の桁数さえあっていれば、どんな数字列でもよかった。

適当な数字とアリペイアカウントを自動入力し、紅包を取得するというスクリプトを書いてやれば、何度でも紅包がひとつのアリペイアカウントで取ることができるようになる。

陳某は、この手法で、数千回紅包を取得し、わずか2日間で100万元近くを稼いだ。さらに、陳某は、結婚を控えた幼なじみが生活費に困っていたのを知ると、この方法を伝授し、スクリプトもコピーしてやった。この幼なじみは数日で20万元(約340万円)以上を稼いだ。

アリババのアリペイ技術部門は、すぐにこのおかしな動きを察知した。ひとつのアカウントが、同じ企業の紅包を数千回も受け取るということはあり得ないことだった。セキュリティチームが調査を開始すると、アクセス元のIPアドレスが余姚市のものであることがすぐに判明した。

陳某は、偽造の身分証で架空のアリペイアカウントを作るのではなく、普段自分が使っている世紀のアカウントを利用していたので、個人もすぐに特定された。アリババは、すぐに余姚市の公安局に通報し、余姚公安が陳某の取り調べをすると、陳某はあっさりと白状をした。

逮捕、そして擁護の声

陳某は、余姚公安から計算機情報システム破壊罪で起訴され、懲役5年の実刑判決を受けた。

ところが、法律関係の専門家を含むネットワーカーの間で、この判決が大きな議論になっている。計算機情報システム破壊罪は、中国の刑法第286条に規定されているもので、「計算機システムの正常な運用に影響を与え、重大な結果を引き起きし」と記述されている。

陳某が利用したのは、紅包サイトのずさんな仕様であり、これは「正常な運用に影響を与えた」ことになるのだろうかという疑問が相次いだのだ。紅包サイトの運用側は、どんな携帯電話番号でも通ってしまうことが正常だとは想定してはいなかっただろうが、利用者側はその状態が正常なのか異常なことなのかは知るすべがない。また、何千回も紅包を取得するのは、紅包の仕組みとしては不正な行為であり、不正な利益を得たことにはなるが、システムに対し「重大な結果を引き起こした」ことになるのだろうか。

もし、計算機情報システム破壊罪が成り立たないとすると、陳某の罪は、不当な利益を得たということだけで、刑法的には軽微な詐欺にしかならない。それであれば、数ヵ月から1年程度の懲役で、不当に得た利益を返還し、アリババと和解ができていれば、執行猶予がつく可能性もある。

ネットワーカーたちは、陳某に同情気味だ。自分も利益を得て、結婚生活の資金に困っていた友人にも儲けさせたが、それだけで悪質な印象はない。組織的にやっている羊毛党のような犯罪者とはかなり違う。紅包サイトのずさんな仕様こそが問題で、これがなければ、陳某は犯罪を犯そうとは考えなかっただろう。

記事についているコメントでは「道に100元落ちていたら、拾ってしまうよね」「悪意はまったくなく、脆弱性を発見したのだ。報奨金をもらってもいいぐらいだ」「懲役5年は重すぎる。少なくとも紅包サイトの運営者は、自分たちの落ち度を謝罪すべきだ」という論調が多い。ネットワーカーたちの議論は、いまだに続いている。

ニュースで学ぶ中国語

 
漏洞(loudong):不具合、脆弱性。元々はセキュリティホールの直訳として、安全漏洞という技術用語が定着し、セキュリティ関連以外でも漏洞という言葉が使われるようになっている。厳密には脆弱性は「隠患」、欠陥は「欠陥」、バグは「錯誤」という言葉があり、使われる文脈が微妙に異なるが、メディアでは「漏洞」で総称する傾向が出てきている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…