CCTVの「週刊品質レポート」：モバイル決済の隠れた懸念

概要：CCTVの「週刊品質報告」は本日、「モバイル決済の隠れた懸念」という番組を放送し、モバイル決済のセキュリティ問題に焦点を当てました。以下は番組の書き起こしです：[スタジオ] 一緒に質の高い生活を作りましょう、「週刊品質レポート」の視聴を歓迎します。少し前に、ある組織が一連の統計を発表しました。 2013年、わが国の第三者決済市場の規模は16兆元に達し、そのうちインターネット決済総額は9兆元近くとなり、前年比30.04％増加した。モバイルインターネットの継続的な普及に伴い、モバイル決済はさらに急速に増加しました。 2013年のモバイル決済額は1兆元を超え、前年比556.75%増加した。このような驚異的な発展のスピードだからこそ、オンライン決済やモバイル決済のセキュリティ問題は、より一層の注意を払う価値があります。調査の結果、オンライン決済やモバイル決済のセキュリティは現時点では消費者に完全に安心させることはできないことが判明しました。【本文】最近、記者は携帯電話ユーザーから、銀行カードの入金が突然消えたとの報告を受けている。福建省のユーザーは、自分の銀行カードが盗まれ、アリペイやネットイースペイなどのサードパーティの支払い方法を使用して、オンラインで合計2,000元の取引を6回行うために使用されたと語った。【同時開催】福建省泉州市の携帯電話ユーザーへの電話インタビュー。記者：お金が盗まれたのはいつですか？ 4月15日10時です。【本文】偶然にも、江蘇省揚州市の警察は、関係者の銀行カードから6万元以上が盗まれた銀行カード詐欺事件を記者団に明らかにした。【同時】江蘇省揚州市公安局広陵支局航済派出所の朱凱教官は、1月25日から26日にかけて、これらのオンライン決済プラットフォームを通じて、身元不明の人物に中国農業銀行の銀行カードを複数回盗まれ、総額6万人民元以上が盗まれた。【本文】警察によると、不思議なのは、銀行カードが盗まれる前に、関係者の銀行カードや、オンラインバンキングのセキュリティを確保するUシールドやパスワードが紛失していなかったことだ。さらに奇妙なのは、詐欺行為の全過程において、関係者の携帯電話と銀行カードにアカウント変更の SMS リマインダーが一切表示されなかったことです。当該人物が買い物をするために自分でカードをスワイプするまで、銀行カードが盗まれたことに気付かなかった。警察の捜査により、盗まれた6万元以上の金の大半は、電話料金のチャージやゲームカードの購入、その他のオンライン消費に使われていたことが判明した。 Alipay などのサードパーティ決済プラットフォームの既存のセキュリティ対策によると、アカウント番号、ログインパスワード、支払いパスワード、SMS 確認コードの 4 つのセキュリティキーにアクセスできる場合にのみ、サードパーティ決済プラットフォームを介してオンラインでカードをスワイプして送金することができます。さらに、カード決済や振替のたびに、銀行はテキストメッセージ通知サービス機能をカスタマイズしたユーザーの携帯電話に口座変更通知のテキストメッセージを送信します。では、他人の銀行カードをひそかに盗んでいるのは誰でしょうか? ネットワークセキュリティ研究を専門とする北京の独立第三者機関が、近年のアリペイを利用した銀行カード詐欺に関する報道を統計的に分析したところ、コピーした身分証明書を使って携帯電話カードを申請するなど、ユーザーの個人的な不注意により個人情報が漏洩し、最終的に銀行カード詐欺につながるケースがあることがわかった。他にも、ネットワークの安全性の欠如により、ユーザーが銀行カードの資金を失ってしまうケースが数多くありました。【同時】ネットワークセキュリティ専門家のワン・タオ氏受動的な行動とは、Wi-Fiにアクセスしたり、カフェに行って飲み物を飲んだり、そこで仕事をしたり、普通に使用したりすると、騙されてしまうということです。通常のウェブサイトにアクセスし、通常のアプリを開きます。この場合、携帯電話は制御されます。【本文】スマートフォンには主にApple iOSシステムとAndroidシステムがあります。現在、Android オペレーティングシステムはオープンであるため、セキュリティの抜け穴が露出すると、ユーザーの情報セキュリティに対する脅威がさらに大きくなります。それで、この携帯電話のオペレーティングシステムにはセキュリティ上の抜け穴があるのでしょうか?犯罪者はこれらの抜け穴を利用してユーザーの携帯電話に侵入し、Alipay などのサードパーティの支払いプラットフォームを通じてユーザーの銀行カードを密かに盗むことができるのでしょうか? 専門家は慎重な調査の結果、一部のスマートフォンには、ユーザーの携帯電話のセキュリティに深刻な脅威を与えるほどのシステムセキュリティの脆弱性があることを発見した。諸葛建偉: 清華大学の准研究員であり、国家の主要プロジェクト「Linux/Android オペレーティングシステムのセキュリティ脆弱性検出」の研究チームのリーダー。【同時】携帯電話セキュリティ専門家の諸葛建偉氏：現在、ユーザーのXiaomi 2携帯電話を入手しました。弊社の技術分析により、多くのセキュリティ上の脆弱性が含まれていることが判明しました。【本文】専門技術者が記者向けに、携帯電話のOSのセキュリティホールを悪用して携帯電話を攻撃し、ユーザーの銀行カードを密かに盗むプロセス全体を再現した。【同時】携帯電話セキュリティ専門家の諸葛建偉氏：攻撃者は公衆フィッシングWi-Fiを設置し、そのような無線ルーターをユーザーの携帯電話がインターネットにアクセスするためのノードとして利用し、中間者攻撃を行うように設定します。ユーザーがデータ通信量を節約するために携帯電話でこのような公衆 Wi-Fi に接続すると、ユーザーのインターネットトラフィックは攻撃者が指定したラップトップまたは PC にハイジャックされます。【本文】専門家によると、携帯電話ユーザーのインターネットデータフローが攻撃者に乗っ取られると、ユーザーがクリックしたウェブページに、攻撃者によって悪質な攻撃プログラムが密かに挿入される可能性があるという。このマルウェアは、モバイルブラウザのセキュリティホールを悪用し、ユーザーの携帯電話に新たなトロイの木馬プログラムを自動的に埋め込みます。このトロイの木馬プログラムは、携帯電話のオペレーティングシステムのカーネルにおける ROOT 権限昇格の脆弱性をさらに悪用します。この脆弱性は、システム自体に本来属する最高レベルの権限を取得するために使用され、攻撃者が電話機を完全に制御できることを意味します。【同時】携帯電話のセキュリティ専門家、諸葛建偉氏つまり、携帯電話に保存されているユーザーの個人情報をすべて読み取ることができ、携帯電話にインストールされているあらゆるアプリケーション（プログラム）を制御することができる。【本文】記者は、ユーザーが携帯電話でアリペイのアカウントとパスワードを入力すると、これらの極めて重要なアカウント認証情報がほぼ同時に攻撃者のコンピューター画面に表示されることに気づいた。 Alipay のプロセス設計によれば、1 回の支払い金額が 200 元に達すると、支払い操作を完了する前に SMS 確認コードで確認する必要があります。しかし、専門家は、攻撃者が携帯電話を完全に制御できるようになると、SMS 認証コードによって提供されるセキュリティ対策は無意味になることを発見しました。【同時】携帯電話セキュリティ専門家の諸葛建偉氏は同時に、携帯電話上のトロイの木馬プログラムを使用して、Alipayがユーザーの携帯電話に送信する認証コードを傍受することもできるとしている。【本文】記者は、技術者が入手したばかりのAlipayアカウントとパスワードを使用して555元の送金を開始したとき、Alipayプラットフォームが当初ユーザーの携帯電話に送信したSMS認証コードがユーザーの携帯電話の画面に表示されず、代わりに攻撃者のコンピューター画面に表示されたことを目撃した。技術者が認証コードを入力すると、ユーザーのAlipayアカウントの残高555元が直ちに送金された。さらに、アカウント変更の SMS 通知もブロックされ、ユーザーの携帯電話画面にプロンプト情報が表示されませんでした。【同時】携帯電話のセキュリティ専門家である諸葛建偉氏は、この新たな攻撃方法により、攻撃者はユーザーに気付かれずに密かに資金を送金できると述べた。【本文】携帯電話のOSのセキュリティホールを悪用してユーザーの携帯電話を攻撃し、アリペイなどの第三者決済プラットフォームを通じて銀行カードを盗むこの技術は先進的ではないと専門家は警告している。通常のネットワーク攻撃者は、公開されているセキュリティホールを追跡したり、地下産業チェーンを通じて関連する攻撃プログラムやトロイの木馬プログラムを購入したりすれば、Alipay アカウントへの攻撃を完了し、ユーザーの銀行カード資金を盗むことができます。その後、研究者らは研究の範囲を拡大し、市場に出回っているいくつかの携帯電話に同様のセキュリティ上の脆弱性があることを発見した。【同時】携帯電話セキュリティ専門家の諸葛建偉氏：Xiaomi 2モデル以外にも、SamsungのGalaxy S4、GoogleのNexus 4、HuaweiやLenovoの一部のモデルにも、このようなROOT権限昇格のセキュリティ脆弱性があり、これは攻撃者が携帯電話の最高権限を取得できる脆弱性です。【本文】記者は、専門家によってシステムセキュリティの脆弱性が発見された携帯電話には、市場で主流の携帯電話セキュリティソフトウェアがいくつかインストールされていたことに気づいた。しかし、専門技術者がこのシステムセキュリティの脆弱性を利用してAlipay送金攻撃テストを実施したところ、これらのセキュリティソフトウェアはセキュリティ保護効果を示さなかったようです。【同時】モバイルセキュリティ専門家の諸葛建偉氏：この攻撃モードは、ブラウザの脆弱性とローカルルート権限昇格の脆弱性を組み合わせてさらなる攻撃を仕掛け、360 Mobile Guardの動作を完全にブロックし、無効にします。さらに分析を進めたところ、この攻撃モードは、Tencent Mobile Manager など、市場で主流となっているモバイルセキュリティソフトウェアに対しても有効であり、携帯電話の保護を無効にすることもできることがわかりました。【本文】専門家は、さらに分析とテストを行った結果、このAndroidシステムのセキュリティ脆弱性により、攻撃者はインターネット上のAlipayなどのサードパーティの支払いプラットフォームを通じて密かに銀行カードを盗むことができるだけでなく、攻撃目的を達成した後に攻撃の痕跡を完全に消去することができ、ユーザーの銀行カードを跡形もなく盗むのと同じであることを発見しました。【同時】携帯電話のセキュリティ専門家である諸葛建偉氏は、悪意のある転送を行った後、トロイの木馬プログラムとすべてのログを完全に消去できると述べた。この場合、たとえ被害届を提出し、携帯電話を警察に引き渡したとしても、警察は（現時点では）証拠分析を通じて犯人に関する手がかりを見つける方法がありません。 [ホスト] [本文] 携帯電話のオペレーティングシステムは、すべての携帯電話アプリケーションの動作の基盤であり、携帯電話の頭脳に相当します。国家の権威あるサイバーセキュリティ研究機関の専門家は記者に対し、Androidオペレーティングシステムにセキュリティ上の脆弱性が客観的に存在することで携帯電話への攻撃の扉が開かれ、Alipayなどのモバイル決済アプリケーションに深刻なセキュリティ上の脅威をもたらしていると明らかにした。【同時】国家サイバーセキュリティ応急技術工学研究所所長杜躍進博士：モバイル決済にはユーザーの安全を確保するための方法が完備されていますが、安全な環境がなければ、さまざまなセキュリティ対策が深刻な脅威にさらされることになります。【本文】記者は、携帯電話のOSの構築と改良は一度で終わるものではなく、常に防御と攻撃の駆け引きがあることを知った。しかし、専門家は、システムのセキュリティの抜け穴を速やかに修正し、セキュリティレベルを向上させることは、モバイルオペレーティングシステムメーカーの避けられない責任であると指摘している。中国人民銀行の「非金融機関の支払サービス管理弁法」第32条では、支払機関は支払サービスの安全性を確保するために必要な技術的手段を備えなければならないと規定されています。言い換えれば、Alipay などのサードパーティ決済ベンダーは、アプリケーションソフトウェアのセキュリティを確保する義務と責任を回避することはできません。中国人民銀行の「非金融機関の支払サービス業務システムの検査および認証管理に関する規定」および「非金融機関の支払サービス業務システムの技術標準コンプライアンスおよびセキュリティ検査規範 - オンライン支払い部分」では、ユーザーが入力したアカウントやパスワードなどの「顧客識別情報のセキュリティ」の検査が明確に求められています。アカウント名やパスワードなどの機密データの漏洩が発見された場合、重大な問題として分類されます。このように、サードパーティ決済プラットフォームの業務システム全体の検査結果は、仕様に「準拠していない」と判断されます。【同時進行】サイバーセキュリティ緊急対応技術国家工学研究所所長杜躍進博士：これは私が従来の銀行にいるようなものです。私はお客様に銀行業務サービスを提供しており、お客様が銀行業務を実行するために私が提供するツールをご利用いただけるようにしています。しかし、私が提供するツールには問題があります。問題は、他人に利用されて自分の利益が損なわれることです。オペレーターの観点からすると、確かに責任はあります。【本文】専門家による調査、分析、テストの結果、攻撃者が携帯電話ユーザーのAlipayアカウントやパスワードなどの重要な認証情報を入手できたのは、Alipayアプリケーションをインストルメント化し、悪意のあるプログラムの断片を埋め込み、ユーザーの入力を監視することができたからであることが判明しました。【同時】モバイルセキュリティ専門家の諸葛建偉氏：逆解析に抵抗するメカニズムが不足しており、また、改変されたAlipayアプリケーションが検証されていないため、改変されたAlipayアプリケーションは以前と同じようにサーバーに接続して、ログインや送金操作を完了することができます。【本文】記者はその後、アリペイアプリに悪意のあるプログラムの断片が挿入されるというセキュリティ対策についてアリペイに電話インタビューを行った。【同時】アリペイカスタマーサービスNo.018 記者：ユーザーの携帯電話のアリペイソフトウェアが改ざんされたことが判明しましたか？カスタマーサービス: はい、もちろんです。先ほど口座番号を教えて頂きましたよね？ここで調べてみました。記者：では、ユーザーから聞かなければ分からないということですね？はい。記者：では、なぜユーザーに対して自発的に注意喚起を行えないのでしょうか？我々は神だ！ [本文] 複雑かつ絶えず変化するネットワーク環境において、Alipay などのサードパーティ決済プラットフォームでセキュリティインシデントが発生する可能性は低くありません。中国人民銀行が2011年に発表したデータによると、中国におけるオンラインバンキングのセキュリティインシデントの発生確率はわずか100万分の1です。しかし、現時点では、アリペイはリスクの確率は10万分の1であると主張している。【同時】アリペイ社技術スタッフ：リスク率は10万分の1程度になるはずです。このプロセス中、すべてのユーザーの Alipay が 100% 安全であることを保証することはできません。【本文】記者の調査によると、利用者の銀行カードが盗まれ、アリペイなどの第三者決済プラットフォームで支払いに使われた後、利用者はアリペイや他の第三者決済プラットフォームに賠償を求めるほか、警察が事件を解決し、盗まれたお金を取り戻すのを待って損失を回復することしかできないことが判明した。公開された報告書によると、第三者の支払いプラットフォームに請求を提出した場合、すべての被害者が望むものを得ることは難しいようです。あるユーザーはアリペイのアカウントから5万元を盗まれたが、アリペイは補償を拒否した。記者が警察から得た情報によると、たとえ銀行カード詐欺事件がうまく解決したとしても、被害者が盗まれた資金を取り戻すのは容易なことではないという。【同時】江蘇省揚州市航吉派出所の教官などの犯罪容疑者が裁判にかけられた後、関係法令に基づき検察と裁判所で事件を追及しました。公訴が提起されて初めて、私たちは民事上の賠償を求めました。【本文】警察は、モバイルインターネットの普及に伴い、モバイル決済などに関わるネットワークセキュリティの問題がますます顕著になっていることを明らかにした。モバイル決済がユーザーにもたらすセキュリティ上の脅威を軽減し、ユーザーの損失を回避するためには、アプリケーションソフトウェアメーカーのセキュリティ責任と義務を強化するだけでなく、事前に予防措置を講じることが不可欠です。専門家は、パスワードを必要としない無料Wi-Fiの使用を避けるよう、また、似たような名前のフィッシングWi-Fiネットワークの罠に陥らないよう注意するようユーザーに注意を促している。通常は、パスワードなしでフィッシング Wi-Fi ネットワークを自動的にスキャンして接続することを避けるために、携帯電話の Wi-Fi の自動接続機能をオフにするのが最善です。さらに、2 台の携帯電話を使用して、1 台で Alipay やその他のサードパーティプラットフォームにログインしてカードをスワイプし、もう 1 台の携帯電話番号をモバイルバンキングまたはサードパーティの支払いプラットフォームからの確認コードの受信専用にすることで、ネットワーク攻撃者が個人のプライバシー情報を取得することが困難になり、銀行カードの盗難のリスクが軽減されます。 [スタジオ] 専門家によると、今日のインターネット時代では、さまざまなインターネットセキュリティの問題に対する永続的な解決策は存在しないそうです。 Alipayなどのサードパーティプラットフォームも、ユーザーの資金と情報のセキュリティのために複数の基準を設定しています。パスワード、SMS 認証コードなどはすべて効果的なセキュリティ障壁です。しかし、犯罪者によるユーザー情報の盗難手段がますます巧妙化しているため、ユーザーの資金のセキュリティをより効果的に保護するために、既存のセキュリティ対策を更新およびアップグレードすることが急務となっています。残念ながら、当社の現在の調査によると、インターネット決済やモバイル決済などのサードパーティプラットフォームのセキュリティ保護対策は、犯罪者による攻撃を防ぐのに十分ではなく、ユーザーに大きなセキュリティリスクが残っていることは間違いありません。それでは、「週刊品質レポート」をご覧いただきありがとうございました。また来週も同じ時間にお会いしましょう。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。

<<: 中国移動：TD-LTE音声通話成功率は98%に到達

>>: Gmailは鉄壁ではない