マネーハッカーのピーター・フィルモア氏は、オーストラリアで最も人気のある非接触型クレジットカードの一部を複製できるAndroidアプリを作成した。
銀行やクレジットカード会社の監視をすり抜けた攻撃で、このオーストラリアの学者は、Visa と Mastercard の決済カードの背後にあるプロトコルを調査し、自分のクレジットカードのクローン版を使ってスーパーマーケットチェーンの Woolworths で買い物をし、シドニーのパブでビールを買うことに成功し、攻撃の実行可能性を証明した。
Fillmore (@typhoonfilsy) は今日、メルボルンで開催される Breakpoint セキュリティ カンファレンスで、改造した Nexus 4 と、それが Paywave カードや Paypass カードからデータを盗み、クローン カードに取り込む方法を紹介します。
電話による攻撃は目立たないが、フィルモア氏はヴァルチャー・サウスに対し、野心的な犯罪組織はより強力な特注機器を使った彼の戦術を使って通勤途中の乗客を騙し、大儲けできると語った。
ピーター・フィルモア。
「この端末が機能するには、スマートフォンを財布のすぐそばに置いておく必要があるので、これはあくまでも概念実証です。しかし、私が懸念しているのは、犯罪組織がブリーフケースの中にリーダーを仕込み、路面電車で大量のカードを読み取り、中央サーバーにアップロードするという攻撃です」とフィルモア氏は述べた。
「遠く離れた場所にいる誰かが、盗んだ情報が携帯電話に届くまで待ってからカードを使い始めることもできる」と彼は付け加えた。
「取引を保存でき、時間制限がないので、リレー攻撃よりも優れている」と同氏は語った。
潜在的な犯罪者にとっては、もう一つの利点がある。それは、このトリックが失敗しても、小売業者や銀行にとっては詐欺の試みではなく、ありふれたミスと映り、十分な資金力のある銀行や警察による捜査のきっかけとなる可能性があるからだ。
フィルモアの概念実証
大規模小売業者は、ウールワースの場合のように、旧式の POS 決済機器を運用している可能性が高いため、詐欺行為に対してより脆弱であり、小規模な新興企業よりも攻撃の第一候補となります。
フィルモア氏が発見したNexus 4は、非接触型カード用の効率的で独立したハードウェアファジングツールとして機能しました。人気のCyanogen modは、「ホストカードエミュレーション」と呼ばれる、通常はアクセスできないアプリケーションプログラミングインターフェースへのアクセスを可能にし、カードのクローン作成に「最適なプラットフォーム」だとフィルモア氏は語っています。
フィルモア氏は、携帯電話を通じて配信される、人気があるがまだ名前のついていないカードリーダーを悪用するアプリを作成することを計画している。
彼の攻撃は、決済端末の磁気ストライプカードに対する従来のサポートを悪用することで実現しました。EMV(クレジットカードのゴールドチップ)プロトコルでは、カードが端末にEMVをサポートしているかどうかを通知し、攻撃者は決済処理を磁気ストライプに戻すことができました。
この攻撃は、トランザクションが行われるたびに増加するアプリケーショントランザクションカウンタなどの詳細情報を捕捉しました。攻撃者は、次のトランザクションが行われる前に不正行為を実行する必要があり、そうでなければエラーが発生します。
攻撃は特定の銀行の特定の問題によるものではなかったが、オーストラリア・ニュージーランド銀行グループ(ナショナル・オーストラリア銀行とは異なり)は、追加のセキュリティを提供するものの攻撃を防ぐことのできないランダム化番号を実装していなかったことが判明した。
フィルモア氏は、新興企業は、NAB ATMでテストされたような、非接触型クレジットカードがEMVをサポートしていないと「嘘をついている」かどうかを判断できるような新しい技術を使用する可能性があるため、攻撃の標的としてより困難になる可能性があると述べた。
攻撃をブロックするには、EMV 以外のトランザクションに対する従来のサポートを削除するという非常に時間のかかるプロセスが必要になりますが、これは米国よりもオーストラリアの方が早く実行できます。
「EMVインターフェース全般(RFIDと物理インターフェースの両方)は、実装上のバグやエラーが発生しやすい領域だと私は考えています」とフィルモア氏は述べた。「研究者がこの領域を活用できないのは、入手可能で手頃な価格のテスト機器が不足しているからです。」
同氏は、この攻撃はEMV以外の取引をサポートしていたクパチーノのApple Payプラットフォームと同様の仕組みになる可能性があると述べた。
フィルモアの研究は、NFC リサーチ ラボのマイケル ローランド氏とジョセフ ランガー氏の協力を得て行われたもので、その詳細は論文「クレジットカードの複製: EMV コンタクトレスに対する事前プレイとダウングレードの組み合わせ攻撃」に記されています。
昨年、彼は、Amazon.® で実行されるカスタム スクリプトを通じて、コンピューターで生成された「クラス A のドラッグを飲まないと楽しめない」音楽が音楽チャートのトップに躍り出ることを実演し、Breakpoint の観客を大笑いさせました。
