[Black Hat USA 2015] Squareリーダーのハードとソフトの脆弱性を解析 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

[Black Hat USA 2015] Squareリーダーのハードとソフトの脆弱性を解析

研修・セミナー・カンファレンス セミナー・イベント

米ラスベガスで開催されている Black Hat USA 2015 で 8 月 5 日、3人の研究チームによる、 Square リーダーの脆弱性の研究とデモ「MOBILE POINT OF SCAM: ATTACKING THE SQUARE READER」が発表された。

Square リーダーは、スマートフォンやタブレットと接続できるクレジットカードリーダーで、小規模店舗などで日本でも普及している。

プレスカンファレンスに登壇した Alexandrea Mellen 氏と、John Moore 氏は、ともに今年5月にボストン大学を卒業したばかりで、Mellen 氏がハードウェアを、Moore 氏がソフトウェアの研究をそれぞれ行った。解析と検証は Squareリーダー S4 に関して行われた。

Squareリーダーのハードウェア部分の解析を担当した Mellen 氏は、Square の本体を開封し改造することで、カード情報の暗号化をバイパスでき、課金はできないもののスキミングが可能になったという。改造は、家庭用の工具で 10 分程度で完了し、Mellen 氏によれば「一番困難であったのはSquareリーダーのケースを開くことだった」という。

ソフトウェアの脆弱性を解析した Moore 氏によれば、一度決済したカードに対して、再度請求することができる「プレイバックアタック」の脆弱性を発見した。Squareリーダーは、スワイプして得たクレジットカード情報を、音声データに変換して送信する技術を用いているため、複数回スワイプを行い、音声データを録音し、送信せずに蓄積しておき、事後にそのデータを用いることで、プレイバックアタックに成功したという。

Square社はバグバウンティプログラムを主催するなど、脆弱性の発見と対応に積極的であるという。Moore 氏は「それを鑑みた場合、同種の決済サービスにも同様の脆弱性が潜んでいないと言いきることはできない」と結んだ。
《高橋 潤哉》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

    C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

  2. CODE BLUEのハッキングコンテストで優勝、賞金2万ドルを獲得(NHNテコラス)

    CODE BLUEのハッキングコンテストで優勝、賞金2万ドルを獲得(NHNテコラス)

  3. x86 アーキテクチャに潜む脆弱性、未定義命令実行後の挙動

    x86 アーキテクチャに潜む脆弱性、未定義命令実行後の挙動

  4. 2017年8月25日 名和利男の目に映った光景

  5. イスラエル発の国際セキュリティ会議「Cybertech」、11月30日開催(Cybertech Tokyo 運営事務局)

  6. DMARCの国内ISP導入事例

  7. Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

  8. サイバー犯罪対策、産学官連携の成果 -- JC3 間仁田氏報告

  9. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る

  10. ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×