スイスの大学の科学者チームが、MastercardとMaestroの非接触型カードのPINコードをバイパスする方法を発見したと発表しました。
今回パッチが適用されたこの脆弱性により、サイバー犯罪者は盗んだMastercardとMaestroのカードを使って、非接触型決済の際にPINコードを入力することなく高額商品の支払いを行うことができるとのことです。
ほとんどのEMV取引では、カード発行会社によるオンライン承認が必要です。
つまり、加盟店の決済端末は、VisaやMastercardなどのカードブランドを持つ企業が運営する決済ネットワークを介して、カード発行会社に認証要求を送信します。
この論文では、端末の視点から、カードブランドと決済ネットワークの間にミスマッチを引き起こすことが可能であることを示しています。
このようにして発生したカードブランド混合攻撃は、深刻なセキュリティ上の影響をもたらします。
特に、犯罪者が被害者のMastercard非接触型カードを使用して、カードの暗証番号を知らずに高額商品の支払いを行うことが可能になります。
具体的には、攻撃者は使用されているカードがVisaカードであると端末を欺き、先日Visaについて報告したPINバイパス攻撃を適用します。
我々は、Androidアプリケーションを作成し、このアプリケーションを使ってMastercardのデビットカードとクレジットカードの両方の取引に対してこの攻撃を実行することに成功しました。
その中には、Maestroデビットカードを使った400米ドル以上の取引も含まれています。
脆弱性の概要
ETHチューリッヒ大学コンピュータサイエンス学部のチームが発見したこの攻撃は、非常にステルス性が高く、非接触型決済プロトコルの新たな脆弱性が使用されれば、現実のシナリオで簡単に展開できる可能性があるとしています
この攻撃は、盗まれたカードと販売店のPoS(Point-of-Sale)端末の間に攻撃者が入り込むというもので、セキュリティ研究者が通常MitM(Man/Person/Meddler-in-the-Middle:中間者攻撃)と呼ばれるものです。
これを実現するために、攻撃者は以下のものを必要とします。
- 盗んだカード
- 2台のAndroidスマートフォン
- トランザクションのフィールドを改ざんすることができるカスタムメイドのAndroidアプリ
2台のスマートフォンにカスタムメイドアプリをインストールし、エミュレーターとして動作させます。一方、2台目のスマートフォンはカードのエミュレーターとして機能し、攻撃者は改ざんされた取引情報を店舗内の実際のPoS端末に送信します。
カードリレー方式の攻撃
PoSからは、この攻撃は顧客がモバイルペイメントアプリで支払いをしているように見えますが、実際には攻撃者が盗んだカードから得た変更された取引情報を入力しているのです。
研究チームは昨年、Visaの非接触型決済でPINをバイパスする方法を発見した際に、この攻撃スキームを使用していました。
この攻撃は、2020年9月に発表された研究論文「The EMV Standard: Break, Fix, Verify」に記載されているもので、研究者がVisaの非接触型決済の詳細情報を傍受した後、取引の詳細情報を修正して、現実のPoS端末に「暗証番号とカード所有者の身元はすでに端末で検証・確認されているので、PoSはこれらのチェックを行う必要はない」と伝える攻撃になります。
研究者によると、この攻撃はVisaクレジット、Visaデビット、Visaエレクトロン、V Payの各カードを使って実世界でテストを行い、スイスの銀行のPIN要求限度額を超える200スイスフランの取引を完了することに成功しました。
ETHチューリッヒのチームは、最初の発見の後も研究を続け、Visaの非接触型決済プロトコルを使用していない他の種類のカードのPINをバイパスできないか模索していました。
今年2月に発表され、今月初めのUSENIXセキュリティカンファレンスで発表された研究論文の中で、研究チームはMastercardとMaestroのカードによる非接触型決済で同様の問題を確認したと述べています。
この攻撃の違いは、PoS端末にPINがすでに検証されていることを伝える代わりに、PoS端末にMastercard/MaestroではなくVisaカードからのトランザクションであると思わせていることです。.
これにより、PoS端末のVisa専用カーネルが起動し、発行銀行に連絡してカードの確認を行います。この時点で、攻撃者は昨年の古いVisa攻撃を実行し、暗証番号を入力せずに商品の代金を支払います。
研究者は、この攻撃をMastercard CreditおよびMaestroカードでテストし、調査期間中に最大で400スイスフランの取引を行うことに成功したと述べています。
この攻撃のデモビデオは以下の通りで、この攻撃がいかに簡単で迅速であるか、また店員はこの技術を使った攻撃者とスマートフォンで支払いをする正当な購入者とを見分けることができないことを示しています。
研究チームは、今回の2件のPINバイパスをVisaとMastercard(Maestroブランドを所有)の両社に開示したと述べています。
Mastercardは今年初めに自社のネットワークに修正プログラムを導入しましたが、Visaはこの問題に対処していないようです。
研究チームは、この技術と研究が広く悪用されるのを防ぐため、これらの攻撃を容易にするAndroidアプリを公開しないと述べています。
この攻撃についての詳細は、「Card Brand Mixup Attack」と題した論文に記載されています。”Bypassing the PIN in non-Visa Cards by Using Them for Visa Transactions “と題された論文に記載されています。
Comments