piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

マルウェア感染によるPayPayアカウントの不正利用についてまとめてみた

2019年5月23日、愛知県警はPayPayを不正に利用した詐欺事件で被疑者を逮捕(その後不起訴)したと発表しました。また2019年6月6日、日本経済新聞はこの事件で不正利用されたPayPayアカウントがマルウェア感染を通じて作成されたものであったと報じました。ここでは関連する情報をまとめます。

PayPayアカウント 不正利用事案の概要

f:id:piyokango:20190607094943p:plain

日時 出来事
2018年12月4日 PayPayで100億円あげちゃうキャンペーンが開始。
2018年12月*1 偽佐川急便のSMSを通じて男性Aがマルウェアに感染。
感染から1時間以内 何者かが男性Aの電話番号を使ってPayPayのアカウントを作成。
2018年12月9日~11日 栃木県の男の所有するPayPayアカウントで約1000万相当の購入記録。
2018年12月10日 栃木県の男が愛知県名古屋市でPayPayを使って約35万円分を不正購入。
2018年12月13日 100億円あげちゃうキャンペーン終了。
2018年12月下旬 PayPayから愛知県警へ不正購入の情報提供。
2019年5月22日 愛知県警が栃木県の男を詐欺容疑で逮捕。
同日 PayPayがセキュリティの改善状況を報告
2019年7月3日 名古屋地検は男を不起訴処分。
  • 捜査担当は愛知県警 サイバー犯罪対策課。
  • 逮捕されたのは栃木県那須塩原市材木町 21歳の男。
  • 愛知県警はPayPayを用いた詐欺事件の摘発は全国で初めてと発表。
  • 容疑は2018年12月10日にPayPayアプリに他人のクレジットカードを登録し名古屋市 千種区の家電量販店で35万円相当の家電を購入した疑い。(詐欺)
  • 購入した家電はブルーレイレコーダー、ノートPCの2点。
  • 男は「雇われて、頼まれて買いにいっただけだ」と供述している。
  • 詐欺グループによる犯行の可能性があり、関係者が他にいないかも捜査中。
  • 名古屋地検は不起訴とした理由について明らかにしていない。*2

運営会社の情報提供が発端

  • 運営会社PayPayより警察庁を通じて愛知県警へ不正購入の情報提供が行われた。*3
  • PayPayは12月4日~13日の間に確認した不正発生率を0.996%と発表している。
  • 不正利用の原因がCVV試行とも噂された当時、外部入手したカード情報悪用の可能性が高いと報告していた

不正購入記録は1000万円

  • コンビニ、家電量販店など29店舗合計して約1000万円相当の購入記録がある。*4
コンビニ 電子タバコ等 約100万円相当を購入
家電量販店 ノートPCやデジタルカメラ等 約900万円相当を購入
  • 購入時期は2018年12月9日~11日。
  • 被疑者の男は4つのアカウントを所有し不正購入していたとみられる。

マルウェアで本人認証回避と報道

www.nikkei.com

  • 日本経済新聞がマルウェアを通じてPayPayアカウントが作成されたと報道。
  • 作成されたのは詐欺容疑で逮捕された男が利用していたアカウント。*5
  • 本人認証に用いられた電話番号は栃木県の男とは関係のない男性Aのものだった。
  • 男性Aは佐川急便を装ったSMSを通じてマルウェアに感染していた。
  • 本人認証登録時にSMSが届くが、男性Aのスマートフォンには届いていなかった。
  • PayPay側は事実関係を把握していないとコメントしている。
  • カードが悪用された男性BとAは別の人物。

Roaming Mantis攻撃活動に関連したマルウェアの可能性

  • 偽佐川急便のSMSで偽サイト誘導後にマルウェア感染と記事中説明がある。
  • この説明から男性AはAndroid向けマルウェア MoqHao(XLOADER)またはFAKESPYに感染した可能性がある。
  • これらはKasperskyなどが報告している攻撃活動「Roaming Mantis」で確認されているもの。
  • 両マルウェアともSMSなどの機密情報を外部へ流出させる機能が存在するとの分析レポートが公開されている。

更新履歴

  • 2019年6月7日 AM 新規作成
  • 2019年6月7日 AM MaqHao、FAKESPYを混合した記述となっていたため、図や表記を修正。レポートと追記。(修正前の記事
  • 2019年6月8日 AM 分析レポートを追加(@m3duz4pwnさん、@autumn_good_35さんありがとうございます。)
  • 2019年7月20日 AM 続報追記

*1:男性Aの感染日は不明。

*2:「PayPay」悪用詐欺 逮捕の男性(21)を不起訴処分 名古屋地検,中京テレビ,2019年7月3日

*3:「ペイペイ」悪用で初摘発 詐欺容疑で男を逮捕,産経新聞,2019年5月24日

*4:「ペイペイ」で不正、初摘発=詐欺容疑で男逮捕-愛知県警,時事通信,2019年5月23日

*5:4件いずれもそうだったのかは報じられていない