中国人ハッカー集団がモバイル決済サービス「Samsung Pay」に技術提供するLoopPayに侵入していたことが判明
By Aaron Yoo
Samsungが提供するモバイル決済サービス「Samsung Pay」が、いよいよ2015年9月28日にアメリカでサービスを開始しました。Samsung PayはSamsungが約2億5000万ドル(約308億円)で2015年2月に買収したスタートアップ「LoopPay」の技術を使用しているのですが、そのLoopPayのネットワークに中国人ハッカー集団が侵入していたことが判明し、ローンチ早々に大きな問題となっています。
Chinese Hackers Breached LoopPay, Whose Tech Is Central to Samsung Pay - The New York Times
http://www.nytimes.com/2015/10/08/technology/chinese-hackers-breached-looppay-a-contributor-to-samsung-pay.html
Samsung Pay LoopPay hack revealed, consequences unclear | BGR
http://bgr.com/2015/10/07/samsung-pay-looppay-hack/
Samsung Payとは、Appleの「Apple Pay」やGoogleの「Android Pay」と同様のモバイル決済サービスですが、他のサービスでは通信技術にNFC(近距離無線通信)を使用しているのに対して、Samsung PayはNFCを搭載していない端末でも利用することが可能です。それを可能にしているのがLoopPayの「MST」呼ばれる技術で、スマートフォンを従来のクレジットカード決済端末にかざすだけで、スマートフォンに登録したクレジットーカードで代金を支払うことができます。
クレジットカード決済端末を非接触型決済端末に変えることができるMSTの採用により、小売業者はモバイル決済向けの決済端末を新しく導入する必要がなく、アメリカより一足先にサービスが開始された韓国では、8月20日のローンチ以降で3000万ドル(約36億円)に相当する決済があったとのこと。韓国でのスタートダッシュを成功させたSamsung Payが、アメリカでApple PayやAndroid Payに対抗できるのかどうかに焦点が当てられていました。
しかしながら、アメリカでのローンチから約2週間でSamsung Payに決済技術を提供しているLoopPayが中国人ハッカー集団から攻撃を受けていたことが判明。LoopPayのネットワークに侵入したのはCodoso GroupやSunshock Groupと呼ばれる中国人ハッカーグループで、LoopPayによればハッカーグループの狙いはMSTだったとのこと。攻撃が受けているのが発覚したのは2015年8月のことで、最初の攻撃があったのは同年3月ごろであることがわかっています。
By Christophe Verdier
Samsung Payはすでにアメリカや韓国でサービスをスタートしていることから、顧客の個人情報やクレジットカード情報の流出が気になるところですが、Samsungの最高プライバシー責任者であるDarlene Cedres氏がThe New York Timesに語ったところによれば、侵入されたのはSamsung Payとは別のネットワークになっているLoopPayのコーポレートシステムであり、Samsung Payに影響は全くないそうです。
両社ともに「ハッキングの影響を受けた機器を排除したので問題はない」としており、Samsung Payの利用者情報やクレジットカード情報は流出していないようですが、Codoso Groupを長年調査しているセキュリティ研究員は「ハッキングの影響がないと判断するのは時期尚早である」と警告しています。セキュリティ研究員によると、Codoso Groupがよく使う手口として「ターゲットのシステムにバックドアを仕掛け、その後長い期間にわたってバックドアから侵入を繰り返す」というのがあり、今回も同じ手口だとすれば侵入から5カ月間も放置していたのに1カ月少しの調査で何もなかったと判断するのは早すぎるということです。
また、通常はハッキングから完璧に復旧するのに平均して約48日かかるそうですが、Samsung Payはハッキング発覚から約40日後にアメリカでサービスをスタートさせており、完全に解決していない状態でローンチした可能性もあります。LoopPayは「個人情報やクレジットカード情報が盗まれたわけではないので、今回の一件の対応を法的機関に任せることはしない」としています。
・関連記事
Googleのモバイル決済サービス「Android Pay」は既存端末で即利用可能と判明 - GIGAZINE
Appleの新決済システム「Apple Pay」の仕組みがよくわかるまとめ&実際に使ってみたよムービー - GIGAZINE
Apple Payを使った詐欺が横行、予想だにしなかった驚きの手口とは? - GIGAZINE
Googleがスマホで簡単決済可能な「Android Pay」をついにスタート、Apple Payのライバルに - GIGAZINE
Appleの新決済システム「Apple Pay」はどれくらい安全なのか? - GIGAZINE
・関連コンテンツ