パスワードを忘れた? アカウント作成
13407592 story
お金

Apple Payを利用したクレジットカードの不正利用が発覚 131

ストーリー by hylom
手口としては分かりやすいが 部門より

不正入手した他人のカード情報をiPhoneの決済機能「Apple Pay」に登録して使用する詐欺事件が発生していたという。背景には中国人らによる犯罪組織が関わっているようだ(ITmedia)。

Apple Payの登録時にはカード発行会社が送信する認証コードが必要だが、カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡し、本人が所有していないスマートフォンに認証コードを送信させていたという。使われた個人情報はフィッシングサイトなどで集められていたようだ。

  • by Anonymous Coward on 2017年09月14日 10時54分 (#3279461)

    10時間、704回、445万円もタバコを買い続ける連続決済をしてもストップのかからないApplePayパねぇっすヤベェっす

    https://iphone-mania.jp/news-171275/ [iphone-mania.jp]

    > コンビニでたばこ981カートン(約445万円分)を詐取!

    > 起訴状によると、被告は今年3月、埼玉県川口市内のコンビニエンスストアにて、
    > 他人名義のクレジットカード情報を支払い方法に登録した「Apple Pay」を使い、
    > たばこ981カートン(約445万円分)を購入した模様です。

    > Apple Payでの決済は、1回につき2万円が上限額となっていますが、
    > どのようにして400万円分以上の決済を行ったのでしょうか。
    > 埼玉県警によると、被告は中国籍の男女3人とともに
    > 約10時間にわたり、未遂を含めて決済を704回繰り返していたとのこと

    ここに返信
    • (#3279473) によれば決済はカード会社の物でアップルはノータッチみたい
      カード会社って変なもの買ったら決済できずに即連絡来るイメージあったがそうでもないのか?

      1. カード会社が巷で思われてるよりいけてない
      2. このカード会社が外れだった
      3. ApplePay経由の場合はノーチェック
      4. カードの持ち主は日常的に煙草を大量に買ってた

      あたりが考えられるんだろうか
      3だったらAppleの責任もありそうではあるが…どーかな

      いずれにせよ結局のとこ保険で払われたんかな?

  • by Anonymous Coward on 2017年09月14日 8時19分 (#3279343)

    他人のクレジットカードなので
    住所が違うと弾かれるのを回避するために
    リアル店舗で購入の路線で偽装クレジットカードの部分をApple Payに置き換えた
    内容だよね。

    限定的だな。

    ここに返信
    • by Anonymous Coward on 2017年09月14日 8時25分 (#3279347)

      リンク先記事にも明記されてる通り、ApplePayでは店舗に利用者の情報が全く公開されないので
      仮にアメリカ人のカード情報を中国人が悪用していても店舗が全く気づけないことが重大な問題になってる

      今回の件はそこまでAppleが情報隠蔽したシステムをApple自身がサービス展開させている以上、Apple自体(そしてApplePay自体の)脆弱性となる
      リンク先の記事でもApplePayの脆弱性という明確な単語が記載されている

      これを「ほかのクレジットカードでも同じだ」なんて話にして逃げられるわけ無いだろ
      Apple信者はどこまでダブスタなんだ?

      • >・・・カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡・・・

        フィッシングサイト他でターゲットのカード情報と個人情報浚って、連絡先電話番号を変更できれば作業完了みたいですね。
        通常だとカード利用時に店側もそれとなく人をチェックするけど、Apple Payではノーチェックになってしまう。

        対策としては
        ・カード会社が電話番号変更の際の手続きをより厳しくして本人確認の精度を上げる。
        ・Apple Pay側では… どうすりゃいいんだろ?対策できなければ利用しないのが吉。

        • by Anonymous Coward

          実際に悪用試行したことは当然ないのでどこまで通る話かわからないけど、
          ApplePayを使っていない、iPhoneすら持ってないという人でも
          勝手に悪用者のApplepPayにクレジットカード登録されて悪用される可能性があると当初から指摘されてきてる

          実際にそれをやったときに、効果的な検出、登録阻止の仕組みがあるのかどうかは不明

          最悪の場合、非iPhoneユーザーが一方的にApplePayのせいで悪用被害に合うこともあり得る

          • >勝手に悪用者のApplepPayにクレジットカード登録されて悪用される可能性があると当初から指摘されてきてる
            >
            >実際にそれをやったときに、効果的な検出、登録阻止の仕組みがあるのかどうかは不明

            ここのストーリーに出てる情報だとそれもありえますね。
            Apple側の対策はどういう仕組みになるんだろう。
            顔認証のやつとかでより便利にと言うのはわかるけど、よりセキュアであることとの兼ね合いはうまく取れてるのかな。

            • by Anonymous Coward

              その手の悪用はWeb決済でも行われるから,カード会社もAppleも保険で対応するんじゃないかな?
              やられたクレジットカードユーザーは面倒だろうけどね.

              • by Anonymous Coward

                > その手の悪用はWeb決済でも行われるから,カード会社もAppleも保険で対応するんじゃないかな?
                > やられたクレジットカードユーザーは面倒だろうけどね.

                どれだけずさんな個人情報システムを作って何百万人の個人情報を漏らしまくろうと、
                一人500円払えば問題ないんだっていう主張だね

                そういう高圧的な姿勢が見えてるから嫌われるんだよ、クレジットカードもAppleもね

              • by Anonymous Coward

                この事例では,クレジットカードもAppleも個人情報を漏らしていませんよ.ED治療薬販売などのフィッシングサイトから漏れたと推測されています.

                クレジットカード会社(発行会社)は,犯人側の問い合わせに応じて,個人情報の「答え合わせ」をしてしまいましたが.

              • >そういう高圧的な姿勢が見えてるから嫌われるんだよ、クレジットカードもAppleもね

                フィッシング詐欺サイト経由の詐欺も彼らに責任を求めるのは厳しそう。
                実際に情報を漏らしたのは騙された本人だろうし。

              • by Anonymous Coward

                > フィッシング詐欺サイト経由の詐欺も彼らに責任を求めるのは厳しそう。
                > 実際に情報を漏らしたのは騙された本人だろうし。

                カード情報の大規模流出被害などの被害者の場合もあるし、
                あとはリンク先にも記載されている通り中国系店舗がこっそりスキミングしてるなんてこともある
                最終的なカード所有者にはまったく責任がない場合も多い

              • by Anonymous Coward

                カードユーザーに非がない場合は,カード所有者であるカード会社が(保険で)加盟店に支払っていうのが,クレジットカードの基本的な仕組み.

                そのためにカード会社は,加盟店から手数料をとり,ユーザーから年会費をとっているわけで.

              • ・個人向け住宅ローン:世帯主に団体信用生命保険かけとけば途中で死んでも大丈夫

                途中で世帯主が死んでも大丈夫なのは遺族だけで、金を貸した銀行は丸損ですよ。

                人命よりも経済の効率性が優先されるという例で挙げたにしちゃお粗末ですね。

              • どうして? 金融会社は残債分を受け取れるから全く損はないですよ.

                そうでしたか。銀行は別に痛くも痒くもないんですね…
                すると損をするのは保険会社ですか…
                住宅ローンの団信は持ち家を建てるぐらいならすぐ死なずにきっちりローンを払ってくれるに違いない、
                家を立てた直後にやったこれで死ねばいろんなことから自由になれる!!
                とバタバタ死んだりしないのを前提としているんですよね…

                # 団信の保険率をみればそういうのが増えた/減ったというのが判るのかな?

      • by Anonymous Coward

        >店舗に利用者の情報が全く公開されない
          店員が見る端末に名前すら出ないのかな?逆に普通のクレジットカードだと、端末に名前が出て店員がチェックしてるんだろうか?
        もっとも中国人でもファーストネーム、ファミリーネームともに完全に白人の名前であることが珍しくないので、明らかに不正利用してるっぽい雰囲気でない限りそこで重大な問題にはならない気もする。

        • by Anonymous Coward

          顔写真付きの情報でも出ない限り店舗で本人確認なんてできないですよねえ…。
          名前だの何だのの情報なんていくらでも嘘つけますから。

          • by Anonymous Coward

            > 顔写真付きの情報でも出ない限り店舗で本人確認なんてできないですよねえ…。
            > 名前だの何だのの情報なんていくらでも嘘つけますから。

            おいそこのキミ
            キミが持ってるクレジットカードには利用者の名前が印刷(またはエンボス刻印)されていないのかね?

            冗談抜きですぐに警察が動く重大事案だぞそれ

            • by Anonymous Coward

              エンボスされてますが、それで店舗が利用者の本人確認可能なのですか?
              偽の利用者がエンボスされてる名前を自分の名前として名乗るだけですよね。

              実物のカードだろうがApplePayだろうが店舗側は利用者が正等な利用者かなんて判断しようがないでしょう。他スレッドでも書かれてましたが、ガード会社が対応する案件でしょうね。

        • by Anonymous Coward

          > 逆に普通のクレジットカードだと、端末に名前が出て店員がチェックしてるんだろうか?

          そもそも普通のクレジットカードでは国際規格で利用者の名前や有効期限などが刻印もしくは印刷されている
          また、サインの確認なども随時発生するし、
          利用店舗が疑いを持った場合には後述するほかの本人確認情報を見せろと言われたり、カード会社と電話して確認をとれとかも要求される

          > もっとも中国人でもファーストネーム、ファミリーネームともに完全に白人の名前であることが珍しくないので、明らかに不正利用してるっぽい雰囲気でない限りそこで重大な問題にはならない気もする。

          多少なりとも疑わしい場合には利用店舗がクレジットカード以外のほかの本人確認情報も見せろと言ってきたり、
          カード会社に電話するからそこでカード会社の担当者と会話して間違いなく本人と判断してもらえ、と要求される

          ApplePayにはそういうセキュリティ強化のためのフローがなく、また利用店舗も怪しい可能性があるかどうかの判断すらできない

          • by Anonymous Coward

            そんなことしても、客を泥棒扱いするという、店にはデメリットしかないじゃん。
            それにカードだって店員に渡すわけじゃないし、サインも禁止の流れだし

            • 実際使うかどうかはともかくセキュリティ強化のためのフローがあると言うのは
              発覚の可能性を高めるので犯罪をためらわせると思われます。
              のでまぁフローはあったほうがいいんじゃないでしょうか。

              カードは店員に渡しますケド渡さない事なんかありますかね…クレカですよね。

              サイン禁止の流れってのは聞いたことないですな、どこにあるんでしょうか

              • by Anonymous Coward

                「サイン禁止」というよりは,クレジットカード全体としてスキミング対策のため「磁気ストライプの廃止」にともない「ICクレジットカードの発行」を進めています.決済時もICを利用するように販売店に指導しています.

                ICクレジットカードは原則として暗証番号の入力にしているため,サインよりも暗証番号を求められる機会が増えて居ると思います.実際の運用場面では(IC決済の遅さや暗証番号忘れなどもあって)サインで済む場面も多いのが実情です.

              • ICカード化、ってのは有りますね
                クレカはさっぱり進まないイメージが強かったんですが、
                ICカードになればサインは「不要」になりますね
                不要と禁止は違うと感じるので思いつきませんでしたわ

                いやいや、サインが当然の文化であれば
                サインで済んだのが暗証番号とかに変われば
                「禁止」と感じるのかもなぁ

                失礼しました。

                # 新しくできたApplePayがもっと前からある磁気クレカやICクレカより
                # 認証が劣ってるってんじゃまぁ文句言われても仕方ないよねぇ
                # 写真も微妙だし似顔絵でも出しますか

              • そりゃ酷いですね
                「サインが禁止にされた」と言われても仕方ない
                暗証番号でカード使ったことないですが、まさか4桁強制でそんなこと言ってるんじゃないですよね…(言ってそう

      • by Anonymous Coward

        スマホ持ってないので○○ Payっていうのは使ったことないんだけど
        これってAndroid PayとかLine Payとかでも同じことが出来るのかな?

        • >スマホ持ってないので○○ Payっていうのは使ったことない
          スマホ持ってないのでOPPayっていうのは使ったことない

          スマホの有無による影響については現在調査中・・・(マテ)

      • by Anonymous Coward

        逆じゃね?
        ApplePayなんて使ってないから知らないだけだと思う。
        よって信者ではないんじゃないかな。

        ところで、他の電子決済では起こりえないのか議論してみたいんだ。
        たとえば楽天Edyではどうなのか…。
        考えて書いてみたが、ApplePayと同様に悪用できそうな気がしたので消した。

        悪用できる額がApplePayのほうが大きいから悪用されやすいというのはあるかもしれないが、繰り返し使えばEdyもそれなりに大きな金額になるよなあ。

        • by Anonymous Coward

          Edyでは、セキュリティコードまで漏れていた場合には悪意あるものに勝手に登録されるケースが以前発生している
          1回のチャージが25000円上限で、Edyカードに入れて置ける残高そのものは50000円上限

          ここから先はEdy側の運用や利用者の利用傾向からの機械的な自動判断次第の面が大きいの万人に確定した話にはならないけど、
          Edyではおおよそ

          ・1日に25000円以上、3日で50000円以上

          くらいのチャージをしようとすると、機械的にチャージが阻止されて必要ならEdy運営に電話しろと言われるケースが多いと思う

          それに対して今回のApplePayの問題では

          • > 対応した店員は爆買いする客とは思ったものの不審には感じず
            えぇ…10時間で700回って事は毎分買ってたんだよな

            ホントに不思議に思わないもんかそんなの…?
            バイトだからそんな義務はないとかそういう系??

          • by Anonymous Coward

            Appleはカード情報とソレのセキュリティシステムを載せているだけで
            決済システムに関しては完全にカード会社側の物を使っているのでApple側は
            ApplePayでの物理的な支払いに関しては検知できませんよ

            • >ApplePayでの物理的な支払いに関しては検知できませんよ

              iPhone振ればジャラジャラコインが湧き出す不思議なApple Payかとおもた。

            • by Anonymous Coward

              > Appleはカード情報とソレのセキュリティシステムを載せているだけで
              > 決済システムに関しては完全にカード会社側の物を使っているのでApple側は
              > ApplePayでの物理的な支払いに関しては検知できませんよ

              その内容の真偽とは別として、そんな次元の話ではない

              たとえばApplePayについて、
              上限2万円(これはすでに設定済)とは別に、仮に1日当たり6万円までなどの制限を設けておけばいい
              これをチェックするのがApple側なのか金融機関側なのかは関係ない
              なぜなら、全部まとめて、Appleが主導する「ApplePay」というシステムだから

              なので今回の件についてAppleに落ち度がないという意見はまったく通らない

              • by Anonymous Coward

                限度額やサインの有無など制限を加えるのは,販売店やカード発行会社に委ねられていますよ.

                ・iD の場合は加盟店が限度額を設定できます。ご利用額が所定の限度額を超えた場合は暗証番号の入力が必要になります。
                ・QUICPay の場合は限度額が 20,000 円になっていますが、お店の端末を QUICPay Plus にアップグレードすれば、この制限はなくなります。
                ・加盟店やカード発行会社によっては PIN (暗証番号) の入力が必要になる場合があります。また場合によっては、レシートに署名をしたり、別の方法でお支払いいただかねばならないこともあります。

                https://support.apple.com/ja-jp/HT207151 [apple.com]

        • by Anonymous Coward

          比較するなら,QUICPayやiDのような後払いクレジットカードではないでしょうか.

    • by Anonymous Coward

      限定的だな。

      けどLinePayとかその他○○Payでも行けるわけだから
      そこまで狭い限定的ではないかも

      # 林家三平は含まれません

      • by Anonymous Coward

        #3279458 を見ればわかるとおりApplePayだけ異常

        • by Anonymous Coward

          #3279458 を見ればわかるとおりApplePayだけ異常

          $ no such a comment "3279458".

    • by Anonymous Coward

      Apple Playで被害が目立ったからこそニュースになった
      そしてiPhoneでの使用が広く知られているから「iPhoneの決済機能」と書かれた
      普通の事だね

      iPhoneじゃなくてもいいだろ!なんてムキになるのが意味不明

  • by Anonymous Coward on 2017年09月14日 11時20分 (#3279490)

    典型的に○○Payシステムを勘違いしていて
    あれらはただ単にスマートフォンに対して某かのカード情報を登録するための機能です。

    ですので、ApplePayであれば日本国内のカードタッチ決済規格のQuickPayかiDに対応しているだけで
    ApplePayとしての機能としては基本的には非接触決済でカード番号なんかを送って決済するだけで
    ApplePayというApple側のシステムがあってそこと通信して決済をしているわけじゃありません

    Fuze Cardみたいな集約をスマートフォンで行えるだけでApplePayという決済ネットワークに接続して決済するシステムじゃありません。

    ここに返信
    • by Anonymous Coward

      勘違いはしていないね
      まず #3279495 を読んで内容を理解したほうがいいよ

      Appleが取り仕切る「ApplePay」に参加するために金融機関は旗振り役であるAppleの求める規約や手順に準拠している
      そのAppleの提示する規約や手順に抜け漏れ杜撰があり「ApplePay」が危険にっているのは、間違いなくAppleの責任

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...