チップ&ピンカードを複製:ブラジルの犯罪集団の手口

2018年3月22日

最近米国では、クレジットカードやデビットカードが、セキュリティの弱い磁気ストライプのカードから、強力に保護されたEMV標準のチップ&ピンカードに切り替えられました。これは、取引のセキュリティ向上とカード詐欺の削減に向けた大きな一歩で、カードの複製に基づいたカード詐欺は終わりに近づいていると思った方もいるかもしれません。

しかし、Kaspersky Labのリサーチャーは先日、ブラジルのサイバー犯罪者集団が、チップ&ピンカードのデータを窃取しカードを複製する方法を開発したことを発見しました(英語記事)。当社のエキスパートはSecurity Analyst Summit 2018でその調査結果を発表しましたが、ここでは、その複雑な仕組みをなるべく簡潔にご説明します。

ATMのジャックポット攻撃からその先へ

当社のリサーチャーは、ブラジルのサイバー犯罪者集団PrilexがATMのジャックポット攻撃に使用したマルウェアを調査する過程で、このマルウェアの改造版に遭遇しました。それには、POS端末に侵入して、カードデータを収集する機能が追加されていました。

このマルウェアには、POSから銀行へ送信されるデータを第三者が横取りできるようにPOSのソフトウェアを改竄する能力がありました。感染したPOS端末のある店で支払いを行うと、カードデータがすぐに犯罪者の元へ送られます。こうして、犯罪者はカードデータを手に入れたのです。

しかし、カードデータを取得しただけでは、目標の半分を達成したに過ぎません。お金を手に入れるにはカードを複製しなければなりませんが、チップと複数認証のおかげで、この過程がかなり難しくなりました。

そこでサイバー犯罪者集団Prilexは、自分たちの「お客様」がカードを複製できるようにするインフラをまるごと開発しました。しかし、カードの複製は理論上、不可能なはずです。

それがなぜ可能になったか。説明に入る前に、EMVカードの仕組み(英語)がどうなっているのか、ざっと頭に入れていただければよいかと思います。では、カードの複製について、できるだけ簡潔にご説明しましょう。

チップ&ピン標準の仕組み

カードに付いているチップは、単なるフラッシュメモリーではなく、アプリケーションを実行できる小さなコンピューターです。このチップをPOS端末に挿入すると、一連の処理が始まります。

最初のステップは初期化です。POS端末は、カードの名義人氏名や有効期限、そのカードが実行可能なアプリケーション一覧など、基本的な情報を受け取ります。

2番目のステップはデータ認証と呼ばれ、省略されることもあります。これは、カードが本物かどうかを端末がチェックするステップで、暗号アルゴリズムを使ってカードの正当性を検証するのですが、ここで説明するには複雑すぎるので省略します。

3番目はカード所有者の検証ですが、これも省略可能なステップです。カード所有者はPINコードか署名を提供する必要があります(どちらを提供するかは、カードのプログラミングによって変わります)。このステップは、カードで支払いをしようとしている人が、カードを発行された人と同一人物かどうかを確認するために行われます。

4番目が取引です。

必須のステップが1と4だけであることに注目してください。つまり、認証と検証は省略できるのです。ブラジルの犯罪者集団はここに目をつけました。

制限のないカード

先ほども書いたとおり、チップ&ピンカードにはアプリケーションを実行する能力があります。POSは、カードとの最初のハンドシェイクで、使用可能なアプリケーションについての情報をたずねます。取引に必要なステップの数と複雑さは、使用できるアプリケーションによって異なります。

この犯罪者集団は、カードに実行させるJavaアプリケーションを作成しました。このアプリケーションには、2つの機能があります。まず、POS端末にデータ認証を行う必要がないことを知らせる機能です。これにより暗号化が行われなくなるため、カードの秘密鍵を取得するという、不可能に近い作業を割愛することができます。

しかし、それでもPINの認証が残ります。EMV標準には、PINが正しいかどうかのチェックに使用する「もの」を指定するためのオプションがあります。その「もの」が「カード」です。より厳密には、「そのカードで実行されているアプリケーション」ですが。

お察しのとおり、サイバー犯罪者が用意したアプリケーションは、どのようなPINが入力されても「正しい」と応答できます。何を入力しても受け付けられるのですから、カードを悪用するには4桁の数字を適当に入力すればいいのです。

サービスとしてのカード詐欺

Prilexが開発したインフラには、前述のJavaアプレットと、スマートカードに情報を書き込むためのクライアントアプリケーション「Daphne」が含まれます(スマートカードの読み書きデバイスと空のスマートカードは安価ですし、購入は完全に合法です)。同じアプリケーションを使って、そのカードで引き出せる金額も確認できます。

また、このインフラには、カード番号などのデータが入ったデータベースも含まれます。デビットカードか、クレジットカードかは関係ありません。「Daphne」はどちらのカードも複製できます。犯罪者集団はこれらをパッケージ化して、主にブラジル国内の同業者に販売しています。そしてパッケージを購入した犯罪者が、カードを複製して使っているのです。

まとめ

Aiteの『2016 Global Consumer Card Fraud』レポート(英語)から判断すると、調査対象となったカード利用者のほぼ全員がセキュリティを侵害されていると考えてよさそうです。磁気ストライプのカードであれ、より安全なチップ&ピンカードであれ、カードの情報はすでに盗まれている可能性があります。

犯罪者たちは、カードを実際に複製する方法を開発しました。カードの不正利用で多額の損失を出さないためには、次の対策をお勧めします。

  • プッシュ通知またはSMS通知を利用して、カードの使用履歴をこまめに確認しましょう。不審な支出に気付いた場合は、ただちに銀行へ連絡してカードをブロックしましょう。
  • 可能であれば、Android PayまたはApple Payを使用しましょう。これらの支払い方法ではPOSにカードデータが公開されないため、POSにカードを挿入するよりも安全であると考えられます。
  • 実店舗での支払いとインターネットでの支払いには、別のカードを使用しましょう。インターネットでの支払いに使うカードの方が不正利用される確率が高いので、そのカードにひも付く口座には大金を入れておかないようにしましょう。