2月に、ペイパル(Paypal Holdings, Inc.) のワンタイムパスワード、セキュリティ認証の質問と二要素認証を含めた認証システムが、ハッキングによって通過可能であることが判明しました。また、ハッカーはSmartChat(ペイパルのチャットカスタマーサービス)を通じて悪意のあるコードを送り、エージェントの名前を偽造して顧客情報を入手することが可能だそうです。アカウント情報である名前もハッカーにより編集可能で、悪意のあるハッカーの対象となったアカウントの情報は、闇市場で転売されてしまいます。
ペイパルはペーパーレス化を推奨し、オンライン決済を簡素化する便利なツールですが、遂にはサイバー攻撃の標的になってしまいました。これらはCyberNewsのチームによって報告された事例で、PaypalやHackerOne(ペイパルのセキュリティーを検査するチーム)はこれらの事例を特別問題視しなかったそうです。
それではCyberNewsのチームは、どのようにしてサイバー攻撃の対象要素を見つけたのでしょうか。例えば、新規のユーザーがペイパルに登録する際に入力した電話番号に送信されたワンタイムパスワードを入力することが必要です。そうすることで、1人のユーザーによるアカウントの重複と不正利用の防止となります。ユーザーが電話番号を登録した際、api-m.paypal.comへ電話が発信され、その番号が認証されたことが確認されます。CyberNewsは、そのプロセスを変更しワンタイムパスワードの入力をせずに電話番号を認証済みにさせることが可能だといいます。結果、1人のユーザーによる重複アカウントの保持が可能となります。
*変更可能な電話番号→新規の電話番号が登録され→Emailアドレスは未認証、電話番号は認証済みという結果に
また、CyberNewsのチームはSmartChat上でMITMプロキシを利用することで悪意のあるコードをチャット内へ送信し、顧客のアカウントにアクセスすることが可能であることを判明しました。
対策の1つとして、アカウントのパスワードを定期的に変えることが挙げられます。予測困難にするためランダムな英数字を含むものとし、それはペイパル以外のサービスで使わないようにしましょう。ワンタイムパスワード、セキュリティ認証の質問と二要素認証を含めた認証システムの利用が推奨されます。また、悪意のあるウェブサイトへ誘導を促すフィッシングメールにも注意が必要です。発信元のドメイン名が「@mail.paypal.com」か「@paypal.com」であればそれはペイパルから届いた本物のメールである証拠です。そして、カード情報を盗むための偽サイトを見破るためには、ブラウザに表示される鍵マークをクリックして検査できるSSL通信に注目することも大切です。
ペイパルは2019年の時点で3億500万人ものユーザーによって使われているサービスで、年々その人数は14%ずつ増加しています(statista)。これから、このようなオンライン決済サービスは、悪意のあるハッカーの標的対象となっていくことが明らかです。個人の意識とセキュリティー対策、そしてCyberNewsのようなシステムの安全を検査しサイバー攻撃から私たちを守るCEH・報道陣が今後必要不可欠となります。
Lizuna (https://lizuna.com/) は、3つのテクノロジーを用いてオンラインショッピングサイト上の詐欺や悪意のある注文を監視・防止する会社です。EC運営者の安全なビジネス経営のため、日々研究に刻苦勉励しています。
参考文献
Meyerm Bernard. (2019, February 17). We found 6 critical PayPal vulnerabilities — and PayPal punished us for it. Cybernews. https://cybernews.com/security/we-found-6-critical-paypal-vulnerabilities-and-paypal-punished-us/
Doffman, Zak. (2020, February 22). Paypal ‘Critical’ Login Hack: News Report Warns You Are Now At Risk From Thieves. Forbes. https://www.forbes.com/sites/zakdoffman/2020/02/22/paypal-critical-login-hack-new-report-warns-you-are-at-risk-from-thieves-heres-the-reality/#4154d045445e
Statista (2020, January). Number of PayPal’s total active registered user accounts from 1st quarter 2010 to 4th quarter 2019. Statista.com. https://www.statista.com/statistics/218493/paypals-total-active-registered-accounts-from-2010/
