メモ

盗まれたクレジットカードなどのカードデータはどのようにしてAppleやGoogleのウォレットになるのか?


クレジットカード番号を含む機密情報を第三者に漏らしてしまい詐欺被害に遭うという事例は世界中で後を絶ちません。一体どういう経緯で情報が漏れてしまうのかについて、セキュリティ系のニュースを配信するKrebs on Securityが紹介しました。

How Phished Data Turns into Apple & Google Wallets – Krebs on Security
https://krebsonsecurity.com/2025/02/how-phished-data-turns-into-apple-google-wallets/


スマートフォンを持っている人であれば、「荷物をお届けに上がりましたが不在でした」「料金の未払いが発生しています」といったSMSを受領している可能性が高いはずです。

Krebs on Securityによれば、アメリカの郵便サービスを騙ったフィッシングメッセージ等は中国のサイバー犯罪者が販売するフィッシング・キットを通じて送信されている可能性が高いとのこと。こうしたキットを通じて送信されたメッセージ経由でフィッシングサイトにアクセスしてしまうと、機密情報を抜き取られてしまう危険性があるとKrebs on Securityは警告しています。


Krebs on Securityいわく、こうしたサイトは被害者のデータを最大限に引き出すためにいくつかの革新的な技術を駆使しているとのこと。例えば、サイトを訪れた人は情報を入力したとしても「送信」ボタンを押す前に踏みとどまるかもしれませんが、サイトはフィールドに入力されたものをリアルタイムでキャプチャしているため、仮に送信ボタンを押さなくとも情報を拭き取られてしまうそうです。

仮に疑わずにクレジットカード番号等を送信した人は、本人確認のためのワンタイムパスワードを金融機関から受け取り、サイトへ入力してしまいます。詐欺師はこの情報をAppleやGoogleのモバイルウォレットにリンクさせ、情報をリンクさせたスマートフォンを1台当たり数万円で大量に販売しているとのこと。


加えて、「カードを処理できませんでした」という表示を出して別のカードを使うよう促し、被害者1人につき複数の情報を盗むという手口も確認されています。

アメリカのシンクタンク「戦略国際問題研究所」で働くフォード・メリル氏によると、中国の詐欺集団はいくつかのテクニックを使って詐欺を試みているとのこと。例えば、フィッシングサイトは情報を「安全に」保管するため仮にサイトが閉鎖されても情報を後から確認できるといった特徴や、大量に作成されたAppleやGoogleのアカウントを使ってスパムメッセージを送信するなどの特徴があります。

後者はすべて人間の手で行われており、大量のスマートフォンがラックに設置されている画像などが出回っています。


もう1つのテクニックは、盗んだカード情報を画像化するというものです。この画像をiPhoneでスキャンすると、iPhoneは画像が本物なのか偽物なのかを区別できないため、特に邪魔されることなくウォレットへ登録することができるという仕組み。あとは被害者からワンタイムパスワードを受け取れば乗っ取りが完了するそうです。


メリル氏によると、中国の犯罪グループが2023年頃に本格的に活動を始めた当初は、他人の情報をリンクしたスマートフォンを販売したり詐欺に使用したりするのに60日~90日ほど待たなければいけませんでしたが、2年が経過してその待ち時間は7日~10日程度に縮まっているといいます。

セキュリティ会社Resecurityの調査では、とある中国のフィッシング・キットが31のドメインで合計10万8044枚のカード情報を収集していることがわかっています。メリル氏は「モバイルウォレット化されたカード1枚につき100ドル(約1万5000円)から500ドル(約7万5000円)の損失が予想されます」と指摘し、全体としては1年間で約150億ドル(約2兆2000億円)の不正請求があったことになると見積もりました。

Krebs on Securityは「アメリカでは、新型コロナウイルスのパンデミックが発生した後にタッチレス決済の採用が一気に進み、多くの金融機関が決済カードとモバイルウォレットを簡単にリンクするために躍起になりました。そのための認証要件は、顧客にSMS経由でワンタイムコードを送信することがデフォルトとなっていました」と指摘。専門家の「ワンタイムコードを使用し続けたことが、このような新たなカード犯罪の波を助長した」との言葉を付け加えました。

なお、GoogleはSMSの不正利用の影響を軽減する目的で、Gmailの2段階認証ツールとしてのSMSワンタイムコード送信を廃止しようとしていると報じられています。

GoogleはGmailの2段階認証を6桁の認証コードからQRコードに置き換えている - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
SNSや通信会社に「詐欺を積極的に特定すること」を義務づける法案が世界で初めてオーストラリアで採択される - GIGAZINE

GoogleがAIで通話内容を聞いて詐欺を検出する「詐欺検出機能」をリリース - GIGAZINE

求職中の労働者を襲う「ゴーストジョブ」とは? - GIGAZINE

InstagramとFacebook上で欺瞞的な政治広告が爆増中 - GIGAZINE

Metaが日本の投資詐欺広告で4億3500万円の訴訟に直面 - GIGAZINE

FacebookやInstagramで横行する「有名人の顔を無断使用した詐欺広告」の対策に顔認識システムを導入することをMetaが発表 - GIGAZINE

・関連コンテンツ

in Posted by log1p_kr

You can read the machine translated English article How does stolen credit card data end up ….