セキュリティニュース(国内編)「気づかないうちに支払いされているかも?認証なしでApple Payでの支払いが可能な脆弱性」
今ではすっかりおなじみとなったスマホ決済。私も日々の支払いはほとんどスマホで行っており、支払いのたびに財布を開いたりすることもなく財布を持ち歩くこと自体少なくなっています。
また、電車に乗る時もスマホで改札を通れるようになり、切符を購入したりカード型のSuicaを持ち歩くことは全くなくなりました。
そんな私たちの生活にすっかり浸透したスマホ決済ですが、その中でもシェアが高いApple Payに第三者に認証無しで不正に利用されてしまうという凶悪な脆弱性が見つかりました。*1
本記事ではApple Payに存在する脆弱性の内容についてご紹介します。
認証なしでApple Payでの支払いが可能な脆弱性とは?
Apple payでは基本的に支払い時にはFace IDやTouch IDでロックを解除することで認証を行います。しかしApple Payの「エクスプレスカード」という機能を特定の支払い方法(SuicaやPasmo等)に適用するとロック解除等を行わずに端末をリーダーにかざすだけで支払が行われます。
この機能によりいちいち端末を開いてロックを解除して...というような面倒な操作を行わずにスピーディに改札を通ることができています。またこの機能は改札を通る時だけでなく、コンビニ等の支払でも使用することができます。
今回の報告はこの機能に第三者が不正に認証なしで支払いが可能になるという脆弱性があるというものです。
今回の報告はイギリスの国家サイバーセキュリティセンター(NCSC)が支援するバーミンガム大学とサリー大学の研究チームにより行われました。
同研究チームは、Apple Payと、Visaのシステムの両方に存在する脆弱性を利用することで、認証なしでApple Payでの支払いが可能になると述べています。
脆弱性の悪用方法としては簡単にまとめると以下のようになります。
- Apple Payではエクスプレスカードが有効になっているか否かをカード取引修飾子(CTQ)で判別。*1
- エクスプレスカードをVisaのクレジットカードで利用している場合、非標準のバイトシーケンスを送信するカードリーダーを使用することでCTQを変更可能。*1
またこの攻撃には以下の3つの端末が必要となります。
- ICクレジットカード(EMV)対応の決済リーダー
- EMV対応リーダーと通信するためのNFCチップを搭載したAndroidスマートフォンなどの端末
- エクスプレスカードが利用可能な端末であるとiPhoneに誤認させるためのProxmark端末
(参考) Proxmark端末とは?
「Proxmark」とはRFIDカードの読み取りと書き込みができる端末です。この端末は例えばホテルの部屋のカードキーの偽造などに用いられることがあり、既存のカードキー情報を読み取り、複製/偽造を行います。実際にある研究者がこの聴きを利用してホテルのカードキーを1分で偽造する方法を見つけ出しています。*2
同研究に携わったケン・マンロ氏は、「論理的には地下鉄などに乗っている乗客のポケットに入っているiPhoneに、非接触型の決済マシンを近づけるだけで金銭を盗むことが可能になる」と指摘しています。*1日本の満員電車であれば乗客間の距離も近いので、この手法を試しやすい環境かもしれません。
本脆弱性について同研究チームはAppleとVISA双方に対して報告を行っていますが、記事作成時点で脆弱性は修正されていないようです。
Apple、VISAの見解
本脆弱性の報告を受けたApple社は「これはVISAシステムの懸念事項であるが、セキュリティが多層化されていることを考えると、この種の詐欺が現実の世界で発生する可能性は低いと考えている」と回答をしています。*3
また、不正に支払いが行われた場合もVISAの" Zero Liability Policy"(ユーザーは不正に行われた請求の責任を負わない)によって保護されていると述べています。*3
VISA側の見解としても「非接触型不正スキームのバリエーションは、10年以上にわたって実験室で研究されており、現実の世界で大規模に実行することは非現実的であることが証明されています」とし、現実にこのような攻撃が簡単に行われることは無いだろうと述べています。*4
Apple、VISA双方ともにこのような攻撃が一般社会で流行することはないだろうと見解を述べていますが、攻撃手法がさらに簡易化し攻撃者が地下鉄等の街中で実際に攻撃をしかけてくる可能性はゼロではないと思われます。
影響範囲と対策
まず本脆弱性の影響範囲は本記事の冒頭でも記載した通り、Apple payとVISAの組み合わせになります。例えばApplePayとMastercardまたはSamsungPayとVisaは現時点で影響を受けていません。
本脆弱性の対策としては今のところ「エクスプレスカード」機能をオフにするしかないと研究チームは述べています。ただ本機能をオフにしてしまうと通勤/通学に電車を利用しているユーザーとしてはかなり利便性を落としてしまうので、やはりApple、VISA側での早急なパッチのリリースが望まれます。
終わりに
今回はApple Payの「エクスプレスカード」機能に存在する脆弱性についてご紹介しました。新しい製品や機能が出てきて世の中が便利になる反面、脆弱性をついて攻撃や詐欺活動を行う人たちは後を絶ちません。
基本的な対策として定常的にパッチを当てていくということも重要ですが、このようなニュースを常にウォッチしてどういった攻撃や脆弱性が存在するのかを知ることも非常に重要であると考えます。今後も情報収集を続けセキュリティ意識を高めていきましょう!
セキュリティニュース(海外編)「クリティカルなのに脆弱!世界的にもオープン化進む工場のOT環境とセキュリティ対策課題」
近年工場の中で稼働するICS(産業用制御システム)を狙った攻撃が世界的規模で増加しています。
以前の制御システムでは固有のプログラム言語やOSを用いた各システム群が閉域ネットワーク内で稼働していたという特性から、IT系ネットワークほど攻撃の的になりづらかったという背景がありました。
ではなぜ、そのような制御システム有する工場向けにサイバー攻撃が世界的規模で増加しているのでしょうか。近年の工場ネットワークにおける変化と、2020年から今年2021年上半期までに世界で報告された脆弱性の増加傾向を交えて振り返ります。
工場ネットワークにおける近年の変化(進むオープン化)
「2025年の崖」としてもお馴染みのDXレポート(経産省)において、デジタル技術の浸透が社会全体に大きな影響をもたらすものと捉えられている中、主に製造業の有する工場内のネットワークいわゆるOT系ネットワークにおいても広義DXへの取組は国ごとに差はあれど世界的に進んでいます。
Connected FactoryやConnected Manufacturingなどと呼ばれ、これまで基本クローズドであったOTもITとの相互接続による効率化が進んでいます。
これはOT内で稼働するICSやSCADA(監視制御)システムも例外ではありません。外部とのシームレスな相互接続に加え、メンテナンス向上や運用効率向上などの目的もあり、それらOT内で稼働するシステム/サブシステム群にはLinuxやWindowsいわゆる汎用のOSやプログラムが導入されています。この汎用化が進むことが「オープン化」と呼ばれているように、これまでのOTとIT間の境界線がより曖昧さを増してきていると言えます。
利便性が高まる工場は攻撃者の恰好の的 脆弱性の宝庫に!?
先述の通り、オープン化によりITとの境目が曖昧になってきているOT。
外部と相互接続可能となり利便性が増す一方で、セキュリティ対策課題の重要性も増してきています。
その理由のひとつとして、ICS関連ソフトウェアやファームウェアにて発見報告される脆弱性件数の増加が挙げられます。米国ICS-CERTが2020年に公開したアニュアルレポートにおいて、ICS関連のソフトウェアおよびファームウェアにおける危険度の高い脆弱性注意喚起アドバイザリは248件とされ、前年2019に比べ29%の増加であったとのことです。*5
ICS-CERTによるアドバイザリの対象となったものだけ見ると、たいした増加率に見えないかもしれませんが、同レポートで報告されているICS関連の脆弱性(CVE)数は前年比47%増加の710件、それら脆弱性の深刻度の共通指標であるCVSSの平均値は8.0でこちらの値も前年に比べ41%の増加といった結果となっています。
2019年と2020年の1年間を取って見ても、攻撃者の格好の的となる脆弱性の件数は増加しているのは事実として見てとられます。
今後も増え続けるであろう予測を裏付けるかのようなレポートとして、2021年の上半期のみで既に637件の脆弱性がICS関連製品(76ベンダから提供)に影響を与えるといった結果も出ています。
同レポートによると今年上半期のみで実に41%もの増加となり、*6その数は先述のICS-CERTが報告した2019年から2020年にかけてのそれに匹敵する増加率および件数でもあると言えます。
近年の海外におけるICSに向けたサイバー攻撃被害事例と対策の難しさ
ここで、国家規模の重要インフラが被害を受けた事例をひとつ挙げてみます。
2021年の4月、イランの原子力開発施設がサイバー攻撃により停電の被害を受けた事件ではその攻撃手口や攻撃元含む詳細について公式な発表は未だされていないものの、以前より同国と敵対関係にあり、この事件発生以前ここ数日間で同国の原子力開発に警告を強めていたとされるイスラエルによるサイバー攻撃である説が濃厚とされています。*7
工場のオープン化が進みICS関連の脆弱性が増加する中、これは何もイスラエルとイラン間にのみで起こりうる話ではなく、すべての国においても起こり得やすい状態となってきていると考えます。
ただここでセキュリティの対策措置を考えた際、そのクリティカルさから可用性が最も貴ばれている工場では、例えばシステムの再起動が必須となるような汎用OSやアプリケーションのパッチ適用やバージョンアップ、また、端末のCPUおよびメモリなどリソース消費を高めるような手法を採っているセキュリティ対策製品の導入は大変難しいものであると言えます。
そのため、継続稼働を無停止で支える制御システムでもその可用性に支障をきたさないような仕組みを有する製品や手法を採り入れることが課題となります。
おわりに
今回も最後までお読みいただき、ありがとうございました。
工場におけるセキュリティ対策課題を近年のオープン化によるシステム汎用化、それに伴う攻撃を受ける界面の増加などを交えて、グローバルな動向に焦点を当てて振り返ってみました。
今回、記事の執筆にあたり調べられた情報も全体のごく一部に限られたものである理解ですので、これからももう少し具体的に踏み込んで日々調査を続けていこうと思います。
今回の記事がOTでのオープン化推進とセキュリティ対策強化のジレンマにお悩みの方々に、少しでも有意義なものとなっていたら嬉しい限りです。
最後の最後にはなりますが、弊社サイバーセキュリティを専門とする手塚が執筆する「IWI Security Blog」でも「工場などのOT系サイバーサイバーセキュリティ」に焦点を当てた解説・考察を公開しております。参考情報としてURLを記載いたしますので、是非そちらもご覧いただけたら幸いです。
ありがとうございました。是非来月号もお楽しみに!
■ 関連リンク・引用
*01:iPhoneには「認証なしでApple Payでの支払いが可能になる脆弱性が存在する」とセキュリティ研究者が指摘,GIGAZINE, 2021/10/25
*02:ホテルのカードキーを1分で偽造する方法を、15年かけて見つけた研究者の執念,livedoor news, 2021/10/25
*03:Apple pay security flaw leaves Visa cards at risk of 'unlimited' unauthorised contactless payments,euronews.next, 2021/10/25
*04: Apple Pay with Visa Hacked to Make Payments via Locked iPhones,Threatpost, 2021/10/25
*05: Key Takeaways from Published 2020 ICS Vulnerabilities - Verve Industrial,Verve Industrial, 2021/10/26
*06: ICS Vulnerabilities Increased by 41% In Six Months Amidst High Profile Attacks on Critical Infrastructure,CPO Magazine, 2021/10/25
*07: Iran nuclear attack: Mystery surrounds nuclear sabotage at Natanza,BBC, 2021/10/25
