一部の非接触型クレジットカードから無線でカードデータを読み取れる Android アプリが、ドイツのあるセキュリティ研究者によって Google Play 上で公開されました。非接触型クレジットカードは、10 ユーロ(約 1,000 円)未満の決済であれば、POS 端末にカードをかざすだけで暗証番号を入力せずに使えるのが一般的です。
この Android アプリ(シマンテックでは Android.Ecardgrabber として検出されます)は、NFC(Near Field Communication)と呼ばれる通信プロトコルを使ってクレジットカードデータを読み取ります。NFC は、最新のスマートフォンに搭載されている技術です。アプリが Google Play に掲載されたのは 6 月 13 日のことで、削除されるまでに 100 ~ 500 回ダウンロードされました。
NFC とは
NFC は、近距離で非接触型のデータ交換を可能にする機能です。
公式の Android Developer サイトより抜粋:
Near Field Communication (NFC) is a set of short-range wireless technologies, typically requiring a distance of 4cm or less to initiate a connection. NFC allows you to share small payloads of data between an NFC tag and an Android-powered device, or between two Android-powered devices. (NFC(Near Field Communication)は一連の近距離無線技術であり、通信を開始するには通常、距離が 4cm 以下でなければなりません。NFC を利用すると、NFC タグと Android 搭載デバイスの間で、または 2 台の Android 搭載デバイス間で小さなデータペイロードを共有できます。)
情報の取得
Android.Ecardgrabber のコードを解析したところ、作成者は 8 種類のクレジットカード事業者からの情報の取得に対応しようとしたことがわかります。ある事業者の例を以下に示します。
作成者自身が認めた内容によると、このアプリでテストに成功したのは 2 つのクレジットカードシステムだけで、コードは不完全な状態です。
対象となったクレジットカード:
* 作成者が検証に成功 ** コード中にあるが未検証
このアプリでクレジットカードの詳細情報を取得することはできませんでしたが、ポーランドの Payless MasterCard だけは自由に操作できたので、これは想定通りなのかもしれません。
アプリで取得できる情報:
注: コード中のどこにも、クレジットカードのセキュリティコードは抽出されていませんでした。
このアプリの場合、ユーザーがインストールしたうえに、非接触型クレジットカードをデバイスから 4cm 以内に近づける必要がありますが、NFC という新技術の弱点が明らかになったことは確かです。悪質なアプリがモバイルデバイスのバックグラウンドで密かに実行されていれば、財布の中の非接触型クレジットカードにアクセスされてしまうことは十分に考えられます。
NFC のような新しい技術は、私たちの生活を簡単に、そして便利にしてくれるものですが、見落とされがちなセキュリティ上の問題には十分に注意する必要があります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。