デジタル・ウォレットの人気が高まれば犯罪もついてくる

Threats Grow as Digital Wallets Gain Popularity

2021/09/01 SecurityBoulevard — 今回のパンデミックと、ユーザーの個人的な好みが重なり合い、デジタル決済アプリやデジタル・ウォレットが急速に台頭し、その勢いはクレジット・カードや現金と競い合うまでに至っている。セキュリティ分析ソフトウェアのスペシャリストである Cognyte のレポートによると、Google Pay / Samsung Pay / Apple Pay などのデジタル・ウォレットの人気が高まるにつれて、脅威アクターたちの大きなターゲットになったようだ。

脅威アクターたちのデジタル・ウォレットに関する会話を収集/分析するという、2016年から 2020年にかけて継続して実施されている研究では、2017年と2018年の比較において、この種のやりとりの数が、ほぼ倍増したことが分かった。さらに、2019年には 456% 増加して 31,878件に達し、2020年には 292% 増加して 96,363件のやりとりに達している。

人気の高まりと脅威の存在

Cognyte の Senior Director of Cyber Threat Intelligence Analytics である Gilad Zahavi は、「デジタル・ウォレットの人気と、その利用の継続的な増加により、脅威アクターたちの注目の的になっている。さまざまな取引がデジタル・ウォレットに移行するにつれ、脅威アクターたちも金銭的な利益を得るチャンスを増やすために、その犯罪行為をシフトしている」と述べている。Zahavi によると、2021年の最初の数ヶ月で、デジタル・ウォレットに関する4万件以上の議論を、ダークウェブ上で観測している。そのうちの 63% は Telegram であり、22% はダークウェブ・フォーラム、6% は Reddit、4% は Discord となり、残りは Twitter などとなる。

Zahavi は、「つまり、デジタル・ウォレットの利用が拡大するにつれ、世界中の脅威アクターの関心も高まっていることを示している。我々の分析によると、ダークウェブ・フォーラムに手法やチュートリアルなどが存在し、具体的な議論が進み、脅威の進化が推測できる」と述べている。たとえば、デジタル・ウォレット侵入に対する脅威アクターの意欲は、2018年の 27件から、2019年の 111件、2020年の 641件と増加していることを、Cognyte は確認している。

脆弱性の販売

このレポートから見つけ出されたもう一つの増加傾向は、デジタル・ウォレットに関連する脆弱性の販売である。たとえば、あるダークネット市場では、Apple Pay / Samsung Pay / Google Pay のエクスプロイトが、ある脅威アクターから $104 で販売されている。また、デジタル・ウォレットは、フィッシング・キャンペーンに対しても脆弱性があるが、ダークウェブ上でのフィッシングに関するやり取りは、現時点ではあまり多くないと指摘している。

このレポートは、「現在のところ、デジタル・ウォレットに対するフィッシングは、他の場所におけるフィッシング攻撃と比べて、あまり一般的ではないようだ。その理由は、さまざまなデジタル・ウォレット・アプリで、セキュリティが強化されていることで説明できる」と述べている。また、Samsung Pay と Apple Pay は、互換性のある新たなデバイスにプリ・インストールされて、それらを操作する Web プラットフォームが存在しないため、デフォルトではフィッシング攻撃の影響を受けにくいとのことだ。

その一方で、Google Pay は、アプリだけではなく、Web インターフェイスでも利用できるため、フィッシングやソーシャル・エンジニアリングに対して脆弱だと指摘されている。しかし、デジタル・ウォレットに関連するサイバー犯罪は、まだ初期段階にあるとの指摘もあり、技術的な脆弱性への注目が、今後も継続して高まることが期待される。

Zahavi は、「当社のデータベースには、2020年以降の情報として、デジタル・ウォレットに関連する 93,363件のやりとりが収録されているが、グローバルでのユーザー数の増加に伴い、この数も増加すると予想される。デジタル・ウォレット関連のサイバー犯罪は、他の金融系サイバー犯罪と同様に広まり、さまざまな脅威アクターたちの主要な標的となることが予想される」と述べている。

McKinsey の 2020年のレポートによると、認知度や導入率が高まっているにもかかわらず、消費者の約半数は、こうした非接触型決済について、また、その価値やセキュリティに対して関心を持っていない。実際、導入が急増しているにもかかわらず、今回の調査では、過去1年間にデジタル決済のセキュリティに対する認識が、改善したと回答する消費者よりも、悪化したと回答する消費者の方が、多いことも明らかになった。

ほとんどのデジタル・ペイメント・アプリは、トークン化を使用している。トークン化とは、オリジナルの番号をテンポラリな番号に置き換えてから加盟店に送信することであり、セキュリティ層を増やすものとなる。また、デジタル・ウォレットには、二要素認証やワンタイム暗証番号などの、セキュリティ・プロトコルも採用されている。ソーシャルメディア大手の Facebook も、デジタル・ウォレット・プラットフォーム Novi を立ち上げる可能性があると、同社の Head of Crypto Unit である David Marcus が、今週の The Information のインタビューで語っている。

デジタル・ウォレットの普及と、脅威アクターたちの動きという、とても興味深い切り口の記事です。それにしても、脅威アクターたちの情報の共有状況から、こういう動向まで掴めることにも驚きます。Cognyte の調査結果がベースになっている記事ですが、McKinsey のレポートも面白いです。デジタル決済のセキュリティに対する認識に触れていますが、対象が一般消費者だけに、こんな感じなのでしょう。

%d bloggers like this: