Apple Payを利用したクレジットカードの不正利用が発覚 131
ストーリー by hylom
手口としては分かりやすいが 部門より
手口としては分かりやすいが 部門より
不正入手した他人のカード情報をiPhoneの決済機能「Apple Pay」に登録して使用する詐欺事件が発生していたという。背景には中国人らによる犯罪組織が関わっているようだ(ITmedia)。
Apple Payの登録時にはカード発行会社が送信する認証コードが必要だが、カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡し、本人が所有していないスマートフォンに認証コードを送信させていたという。使われた個人情報はフィッシングサイトなどで集められていたようだ。
具体的なApplePayの悪用事例の内容がすさまじすぎる (スコア:1)
10時間、704回、445万円もタバコを買い続ける連続決済をしてもストップのかからないApplePayパねぇっすヤベェっす
https://iphone-mania.jp/news-171275/ [iphone-mania.jp]
> コンビニでたばこ981カートン(約445万円分)を詐取!
> 起訴状によると、被告は今年3月、埼玉県川口市内のコンビニエンスストアにて、
> 他人名義のクレジットカード情報を支払い方法に登録した「Apple Pay」を使い、
> たばこ981カートン(約445万円分)を購入した模様です。
> Apple Payでの決済は、1回につき2万円が上限額となっていますが、
> どのようにして400万円分以上の決済を行ったのでしょうか。
> 埼玉県警によると、被告は中国籍の男女3人とともに
> 約10時間にわたり、未遂を含めて決済を704回繰り返していたとのこと
Re:具体的なApplePayの悪用事例の内容がすさまじすぎる (スコア:2)
(#3279473) によれば決済はカード会社の物でアップルはノータッチみたい
カード会社って変なもの買ったら決済できずに即連絡来るイメージあったがそうでもないのか?
1. カード会社が巷で思われてるよりいけてない
2. このカード会社が外れだった
3. ApplePay経由の場合はノーチェック
4. カードの持ち主は日常的に煙草を大量に買ってた
あたりが考えられるんだろうか
3だったらAppleの責任もありそうではあるが…どーかな
いずれにせよ結局のとこ保険で払われたんかな?
Re:具体的なApplePayの悪用事例の内容がすさまじすぎる (スコア:1)
>カード会社って変なもの買ったら決済できずに即連絡来るイメージあったがそうでもないのか?
カード会社以前にコンビニ店員からSVか近所の交番に「変な客がいる」とかの連絡はいかなかったんですね。
昔々にコンビニでバイトしてた自分だったら、不審すぎてどこかに連絡して応援か助けを求めてしまいそう。
不審な人(客)見かけたらとにかく連絡してくださいってよく言われてたし。
Re:具体的なApplePayの悪用事例の内容がすさまじすぎる (スコア:2)
限度額とは別に「いつもと違うものを買おうとすると買えない」とか聴くじゃないですか。
高須クリニックの社長がブラックカードでソシャゲ300円だかを課金しようとして買えなかったとか
登録住所から○○kmはなれたら使用額にかかわらず要認証、とかもあるといいのかもしれないなぁ
べつにiPhoneである必要はない (スコア:0)
他人のクレジットカードなので
住所が違うと弾かれるのを回避するために
リアル店舗で購入の路線で偽装クレジットカードの部分をApple Payに置き換えた
内容だよね。
限定的だな。
Re:べつにiPhoneである必要はない (スコア:3, すばらしい洞察)
リンク先記事にも明記されてる通り、ApplePayでは店舗に利用者の情報が全く公開されないので
仮にアメリカ人のカード情報を中国人が悪用していても店舗が全く気づけないことが重大な問題になってる
今回の件はそこまでAppleが情報隠蔽したシステムをApple自身がサービス展開させている以上、Apple自体(そしてApplePay自体の)脆弱性となる
リンク先の記事でもApplePayの脆弱性という明確な単語が記載されている
これを「ほかのクレジットカードでも同じだ」なんて話にして逃げられるわけ無いだろ
Apple信者はどこまでダブスタなんだ?
Re:べつにiPhoneである必要はない (スコア:1)
>・・・カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡・・・
フィッシングサイト他でターゲットのカード情報と個人情報浚って、連絡先電話番号を変更できれば作業完了みたいですね。
通常だとカード利用時に店側もそれとなく人をチェックするけど、Apple Payではノーチェックになってしまう。
対策としては
・カード会社が電話番号変更の際の手続きをより厳しくして本人確認の精度を上げる。
・Apple Pay側では… どうすりゃいいんだろ?対策できなければ利用しないのが吉。
Re: (スコア:0)
実際に悪用試行したことは当然ないのでどこまで通る話かわからないけど、
ApplePayを使っていない、iPhoneすら持ってないという人でも
勝手に悪用者のApplepPayにクレジットカード登録されて悪用される可能性があると当初から指摘されてきてる
実際にそれをやったときに、効果的な検出、登録阻止の仕組みがあるのかどうかは不明
最悪の場合、非iPhoneユーザーが一方的にApplePayのせいで悪用被害に合うこともあり得る
Re:べつにiPhoneである必要はない (スコア:1)
>勝手に悪用者のApplepPayにクレジットカード登録されて悪用される可能性があると当初から指摘されてきてる
>
>実際にそれをやったときに、効果的な検出、登録阻止の仕組みがあるのかどうかは不明
ここのストーリーに出てる情報だとそれもありえますね。
Apple側の対策はどういう仕組みになるんだろう。
顔認証のやつとかでより便利にと言うのはわかるけど、よりセキュアであることとの兼ね合いはうまく取れてるのかな。
Re: (スコア:0)
その手の悪用はWeb決済でも行われるから,カード会社もAppleも保険で対応するんじゃないかな?
やられたクレジットカードユーザーは面倒だろうけどね.
Re: (スコア:0)
> その手の悪用はWeb決済でも行われるから,カード会社もAppleも保険で対応するんじゃないかな?
> やられたクレジットカードユーザーは面倒だろうけどね.
どれだけずさんな個人情報システムを作って何百万人の個人情報を漏らしまくろうと、
一人500円払えば問題ないんだっていう主張だね
そういう高圧的な姿勢が見えてるから嫌われるんだよ、クレジットカードもAppleもね
Re: (スコア:0)
この事例では,クレジットカードもAppleも個人情報を漏らしていませんよ.ED治療薬販売などのフィッシングサイトから漏れたと推測されています.
クレジットカード会社(発行会社)は,犯人側の問い合わせに応じて,個人情報の「答え合わせ」をしてしまいましたが.
Re:べつにiPhoneである必要はない (スコア:1)
>そういう高圧的な姿勢が見えてるから嫌われるんだよ、クレジットカードもAppleもね
フィッシング詐欺サイト経由の詐欺も彼らに責任を求めるのは厳しそう。
実際に情報を漏らしたのは騙された本人だろうし。
Re: (スコア:0)
> フィッシング詐欺サイト経由の詐欺も彼らに責任を求めるのは厳しそう。
> 実際に情報を漏らしたのは騙された本人だろうし。
カード情報の大規模流出被害などの被害者の場合もあるし、
あとはリンク先にも記載されている通り中国系店舗がこっそりスキミングしてるなんてこともある
最終的なカード所有者にはまったく責任がない場合も多い
Re: (スコア:0)
カードユーザーに非がない場合は,カード所有者であるカード会社が(保険で)加盟店に支払っていうのが,クレジットカードの基本的な仕組み.
そのためにカード会社は,加盟店から手数料をとり,ユーザーから年会費をとっているわけで.
Re:べつにiPhoneである必要はない (スコア:1)
・個人向け住宅ローン:世帯主に団体信用生命保険かけとけば途中で死んでも大丈夫
途中で世帯主が死んでも大丈夫なのは遺族だけで、金を貸した銀行は丸損ですよ。
人命よりも経済の効率性が優先されるという例で挙げたにしちゃお粗末ですね。
Re:べつにiPhoneである必要はない (スコア:1)
どうして? 金融会社は残債分を受け取れるから全く損はないですよ.
そうでしたか。銀行は別に痛くも痒くもないんですね…
すると損をするのは保険会社ですか…
住宅ローンの団信は持ち家を建てるぐらいならすぐ死なずにきっちりローンを払ってくれるに違いない、
家を立てた直後にやったこれで死ねばいろんなことから自由になれる!!
とバタバタ死んだりしないのを前提としているんですよね…
# 団信の保険率をみればそういうのが増えた/減ったというのが判るのかな?
Re: (スコア:0)
>店舗に利用者の情報が全く公開されない
店員が見る端末に名前すら出ないのかな?逆に普通のクレジットカードだと、端末に名前が出て店員がチェックしてるんだろうか?
もっとも中国人でもファーストネーム、ファミリーネームともに完全に白人の名前であることが珍しくないので、明らかに不正利用してるっぽい雰囲気でない限りそこで重大な問題にはならない気もする。
Re: (スコア:0)
顔写真付きの情報でも出ない限り店舗で本人確認なんてできないですよねえ…。
名前だの何だのの情報なんていくらでも嘘つけますから。
Re: (スコア:0)
> 顔写真付きの情報でも出ない限り店舗で本人確認なんてできないですよねえ…。
> 名前だの何だのの情報なんていくらでも嘘つけますから。
おいそこのキミ
キミが持ってるクレジットカードには利用者の名前が印刷(またはエンボス刻印)されていないのかね?
冗談抜きですぐに警察が動く重大事案だぞそれ
Re: (スコア:0)
エンボスされてますが、それで店舗が利用者の本人確認可能なのですか?
偽の利用者がエンボスされてる名前を自分の名前として名乗るだけですよね。
実物のカードだろうがApplePayだろうが店舗側は利用者が正等な利用者かなんて判断しようがないでしょう。他スレッドでも書かれてましたが、ガード会社が対応する案件でしょうね。
Re: (スコア:0)
> 逆に普通のクレジットカードだと、端末に名前が出て店員がチェックしてるんだろうか?
そもそも普通のクレジットカードでは国際規格で利用者の名前や有効期限などが刻印もしくは印刷されている
また、サインの確認なども随時発生するし、
利用店舗が疑いを持った場合には後述するほかの本人確認情報を見せろと言われたり、カード会社と電話して確認をとれとかも要求される
> もっとも中国人でもファーストネーム、ファミリーネームともに完全に白人の名前であることが珍しくないので、明らかに不正利用してるっぽい雰囲気でない限りそこで重大な問題にはならない気もする。
多少なりとも疑わしい場合には利用店舗がクレジットカード以外のほかの本人確認情報も見せろと言ってきたり、
カード会社に電話するからそこでカード会社の担当者と会話して間違いなく本人と判断してもらえ、と要求される
ApplePayにはそういうセキュリティ強化のためのフローがなく、また利用店舗も怪しい可能性があるかどうかの判断すらできない
Re: (スコア:0)
そんなことしても、客を泥棒扱いするという、店にはデメリットしかないじゃん。
それにカードだって店員に渡すわけじゃないし、サインも禁止の流れだし
Re:べつにiPhoneである必要はない (スコア:2)
実際使うかどうかはともかくセキュリティ強化のためのフローがあると言うのは
発覚の可能性を高めるので犯罪をためらわせると思われます。
のでまぁフローはあったほうがいいんじゃないでしょうか。
カードは店員に渡しますケド渡さない事なんかありますかね…クレカですよね。
サイン禁止の流れってのは聞いたことないですな、どこにあるんでしょうか
Re: (スコア:0)
「サイン禁止」というよりは,クレジットカード全体としてスキミング対策のため「磁気ストライプの廃止」にともない「ICクレジットカードの発行」を進めています.決済時もICを利用するように販売店に指導しています.
ICクレジットカードは原則として暗証番号の入力にしているため,サインよりも暗証番号を求められる機会が増えて居ると思います.実際の運用場面では(IC決済の遅さや暗証番号忘れなどもあって)サインで済む場面も多いのが実情です.
Re:べつにiPhoneである必要はない (スコア:2)
ICカード化、ってのは有りますね
クレカはさっぱり進まないイメージが強かったんですが、
ICカードになればサインは「不要」になりますね
不要と禁止は違うと感じるので思いつきませんでしたわ
いやいや、サインが当然の文化であれば
サインで済んだのが暗証番号とかに変われば
「禁止」と感じるのかもなぁ
失礼しました。
# 新しくできたApplePayがもっと前からある磁気クレカやICクレカより
# 認証が劣ってるってんじゃまぁ文句言われても仕方ないよねぇ
# 写真も微妙だし似顔絵でも出しますか
Re:べつにiPhoneである必要はない (スコア:2)
そりゃ酷いですね
「サインが禁止にされた」と言われても仕方ない
暗証番号でカード使ったことないですが、まさか4桁強制でそんなこと言ってるんじゃないですよね…(言ってそう
Re: (スコア:0)
スマホ持ってないので○○ Payっていうのは使ったことないんだけど
これってAndroid PayとかLine Payとかでも同じことが出来るのかな?
( ゚∀゚)o彡゚おっぱい!おっぱい! (スコア:0)
>スマホ持ってないので○○ Payっていうのは使ったことない
スマホ持ってないのでOPPayっていうのは使ったことない
スマホの有無による影響については現在調査中・・・(マテ)
Re: (スコア:0)
逆じゃね?
ApplePayなんて使ってないから知らないだけだと思う。
よって信者ではないんじゃないかな。
ところで、他の電子決済では起こりえないのか議論してみたいんだ。
たとえば楽天Edyではどうなのか…。
考えて書いてみたが、ApplePayと同様に悪用できそうな気がしたので消した。
悪用できる額がApplePayのほうが大きいから悪用されやすいというのはあるかもしれないが、繰り返し使えばEdyもそれなりに大きな金額になるよなあ。
Re: (スコア:0)
Edyでは、セキュリティコードまで漏れていた場合には悪意あるものに勝手に登録されるケースが以前発生している
1回のチャージが25000円上限で、Edyカードに入れて置ける残高そのものは50000円上限
ここから先はEdy側の運用や利用者の利用傾向からの機械的な自動判断次第の面が大きいの万人に確定した話にはならないけど、
Edyではおおよそ
・1日に25000円以上、3日で50000円以上
くらいのチャージをしようとすると、機械的にチャージが阻止されて必要ならEdy運営に電話しろと言われるケースが多いと思う
それに対して今回のApplePayの問題では
Re:べつにiPhoneである必要はない (スコア:2)
> 対応した店員は爆買いする客とは思ったものの不審には感じず
えぇ…10時間で700回って事は毎分買ってたんだよな
ホントに不思議に思わないもんかそんなの…?
バイトだからそんな義務はないとかそういう系??
Re: (スコア:0)
Appleはカード情報とソレのセキュリティシステムを載せているだけで
決済システムに関しては完全にカード会社側の物を使っているのでApple側は
ApplePayでの物理的な支払いに関しては検知できませんよ
Re:べつにiPhoneである必要はない (スコア:1)
>ApplePayでの物理的な支払いに関しては検知できませんよ
iPhone振ればジャラジャラコインが湧き出す不思議なApple Payかとおもた。
Re: (スコア:0)
> Appleはカード情報とソレのセキュリティシステムを載せているだけで
> 決済システムに関しては完全にカード会社側の物を使っているのでApple側は
> ApplePayでの物理的な支払いに関しては検知できませんよ
その内容の真偽とは別として、そんな次元の話ではない
たとえばApplePayについて、
上限2万円(これはすでに設定済)とは別に、仮に1日当たり6万円までなどの制限を設けておけばいい
これをチェックするのがApple側なのか金融機関側なのかは関係ない
なぜなら、全部まとめて、Appleが主導する「ApplePay」というシステムだから
なので今回の件についてAppleに落ち度がないという意見はまったく通らない
Re: (スコア:0)
限度額やサインの有無など制限を加えるのは,販売店やカード発行会社に委ねられていますよ.
・iD の場合は加盟店が限度額を設定できます。ご利用額が所定の限度額を超えた場合は暗証番号の入力が必要になります。
・QUICPay の場合は限度額が 20,000 円になっていますが、お店の端末を QUICPay Plus にアップグレードすれば、この制限はなくなります。
・加盟店やカード発行会社によっては PIN (暗証番号) の入力が必要になる場合があります。また場合によっては、レシートに署名をしたり、別の方法でお支払いいただかねばならないこともあります。
https://support.apple.com/ja-jp/HT207151 [apple.com]
Re: (スコア:0)
比較するなら,QUICPayやiDのような後払いクレジットカードではないでしょうか.
Re: (スコア:0)
> 偽造クレジットカード
その表現は違う
正しくは「Appleお墨付きの他人のクレジットカードなりすまし決済」くらい
Re:べつにApple Payである必要はない (スコア:1)
正しくは「Appleサポート付きの他人のクレジットカードなりすまし決済」くらい
こうかな
Re: (スコア:0)
偽造じゃないだろ。
カード(に相当するiphone)はappleが作っているわけだが。
apple批判に対して、すべて自分の思ったシナリオに落とし込まないと解釈できないというのは、かわいそうな種族だな。
Re: (スコア:0)
限定的だな。
けどLinePayとかその他○○Payでも行けるわけだから
そこまで狭い限定的ではないかも
# 林家三平は含まれません
Re: (スコア:0)
#3279458 を見ればわかるとおりApplePayだけ異常
Re: (スコア:0)
#3279458 を見ればわかるとおりApplePayだけ異常
$ no such a comment "3279458".
Re: (スコア:0)
Apple Playで被害が目立ったからこそニュースになった
そしてiPhoneでの使用が広く知られているから「iPhoneの決済機能」と書かれた
普通の事だね
iPhoneじゃなくてもいいだろ!なんてムキになるのが意味不明
Appleが検知すべきだったとかいってるけど (スコア:0)
典型的に○○Payシステムを勘違いしていて
あれらはただ単にスマートフォンに対して某かのカード情報を登録するための機能です。
ですので、ApplePayであれば日本国内のカードタッチ決済規格のQuickPayかiDに対応しているだけで
ApplePayとしての機能としては基本的には非接触決済でカード番号なんかを送って決済するだけで
ApplePayというApple側のシステムがあってそこと通信して決済をしているわけじゃありません
Fuze Cardみたいな集約をスマートフォンで行えるだけでApplePayという決済ネットワークに接続して決済するシステムじゃありません。
Re: (スコア:0)
勘違いはしていないね
まず #3279495 を読んで内容を理解したほうがいいよ
Appleが取り仕切る「ApplePay」に参加するために金融機関は旗振り役であるAppleの求める規約や手順に準拠している
そのAppleの提示する規約や手順に抜け漏れ杜撰があり「ApplePay」が危険にっているのは、間違いなくAppleの責任
Re: (スコア:0)
#3279495を読むことで #3279495および#3279502のコメント主がApplePayを全く理解していないことはよくわかった。
Re:Appleが検知すべきだったとかいってるけど (スコア:2)
信者信者騒ぐタイプの人は匿名の書き込みを、あるいはID付であっても、かってにまとめ上げて仮想の敵を作り上げて叩いてる気がする。
そしてその熱の入れようからして本人的には真実なんだろうとしか思えない
なんか「集団ストーカー」の「被害者」に近い何か何じゃないかなぁ
Re:Appleが検知すべきだったとかいってるけど (スコア:2)
今週に入ったぐらいから酷くなった気がしますよね…
心配になりますわほんと
Re:Appleが検知すべきだったとかいってるけど (スコア:2)
まぁでも「Apple」Payと名前を付けてるんだから多少の道義的責任はあるんじゃないかな
iPhoneがカードの代わりになるだけとはいえ、偽装カード作るよりも簡単にiPhoneは手に入るわけですし、トップメーカとして慎重になる責任がある、とか
そんなザルな認証システムしか持たない決済システムには対応しない、と言う選択肢はあった訳ですし
「Appleが不正使用を検知できないようなシステムにAppleの名前を使った」こと自体が
ビッグネームとしての責任感に欠けている、とかえないことはないでしょう。
Appleは時代遅れになってでもダメなシステムに対応するべきではなかった(どうせ遅れてたし)とか
Appleを非難するならこの辺ですかね