小型カード読み取り機「Squareリーダー」をハッキングしてスキミングに利用できることがあきらかに

小型カード読み取り機「Squareリーダー」をハッキングしてスキミングに利用できることがあきらかに 1

スマホに接続して簡単に使えるカード読み取り端末「Squareリーダー」。お店の規模にかかわらず、気軽にクレジットカード決済を導入できてしまう便利なデバイスです。ただし、簡単にスキミング・デバイスになってしまう危険性もあるみたいです。

セキュリティ研究者は、おもに2つの方法があると説明しています。1つめのやり方では「Squareリーダー」を改造して暗号化システムを無効化、カード情報を読みとります。改造は10分もあれば十分とのこと。さらに、見た目は「Squareリーダー」そのまま。悪意ある店員もしくは第三者が盗んだクレジットカード情報を盗んで、売りさばくことができてしまいます。また、この方法ではスワイプを行なったという情報は残らず、被害者のクレジットカード情報だけが残るのだとか。

さらに、2つめの方法では「Square」リーダーの改造などは不要。なぜなら、お客さんがクレジットカードがスワイプした回数だけ、店側はそのトランザクションを後で実行することができるからです。つまり、わざとお客さんに複数回スワイプしてもらい、そのなかのいくつかのデータをSquareのサーバーに送信せず、まったく別の決済に利用することができるんです。さらにアプリ上にその情報を戻しておくことが可能なのだとか。しかも順番もバラバラで問題なし。

研究者の一人であるAlexandrea Mellenは、次のように指摘しています。

Squareはこういった問題を防ぐ方法を知っているはずだったそうですが、その複雑さからあえて対策をしてこなかったのです。

これに対してSquare側がコメントを発表しました。

これは、磁気ストライプのクレジットカードの問題であって、Squareの問題ではありません。カセットテープと同じ技術を使ったシステムに脆弱性があることは、予想できるはずです。だからこそ、クレジットカード会社や貸金業者、一般の企業はより安全で新しい認証による決済方法へ移行しています。SquareリーダーもICカードによる非接触型決済への対応を進めています。

市場に出回っているカードリーダーのほとんどは分解してチップをクラッシュさせた後、元どおりの見た目に戻すことができます。Squareでは、そういった悪意ある行為を防ぐような仕組みを導入しています。さらにSquare Registerソフトウェアには、暗号化が適切に行なわれないカードリーダーでは、スワイプされた場合にカードを保護するよう設定されています。もし、カードリーダーが故障している場合、Squareで使用することはできません。

なんでも気軽にクレカ決済できるのはとってもいいことですが、お店が一体どういうアプリケーションを使っているかは注意しとくべきなのかも。とはいえ、ちゃんとしたアプリなのか怪しいアプリなのかを、パッと見ただけで判断するのってすごく難しい気が...。なにかよい方法あれば、ぜひご教授いただきたい。

source: HackerOneMotherboardEngadget

Jamie Condliffe - Gizmodo US[原文

(Haruka Mukai)