[Black Hat USA 2015] Squareリーダーのハードとソフトの脆弱性を解析 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

[Black Hat USA 2015] Squareリーダーのハードとソフトの脆弱性を解析

研修・セミナー・カンファレンス セミナー・イベント

米ラスベガスで開催されている Black Hat USA 2015 で 8 月 5 日、3人の研究チームによる、 Square リーダーの脆弱性の研究とデモ「MOBILE POINT OF SCAM: ATTACKING THE SQUARE READER」が発表された。

Square リーダーは、スマートフォンやタブレットと接続できるクレジットカードリーダーで、小規模店舗などで日本でも普及している。

プレスカンファレンスに登壇した Alexandrea Mellen 氏と、John Moore 氏は、ともに今年5月にボストン大学を卒業したばかりで、Mellen 氏がハードウェアを、Moore 氏がソフトウェアの研究をそれぞれ行った。解析と検証は Squareリーダー S4 に関して行われた。

Squareリーダーのハードウェア部分の解析を担当した Mellen 氏は、Square の本体を開封し改造することで、カード情報の暗号化をバイパスでき、課金はできないもののスキミングが可能になったという。改造は、家庭用の工具で 10 分程度で完了し、Mellen 氏によれば「一番困難であったのはSquareリーダーのケースを開くことだった」という。

ソフトウェアの脆弱性を解析した Moore 氏によれば、一度決済したカードに対して、再度請求することができる「プレイバックアタック」の脆弱性を発見した。Squareリーダーは、スワイプして得たクレジットカード情報を、音声データに変換して送信する技術を用いているため、複数回スワイプを行い、音声データを録音し、送信せずに蓄積しておき、事後にそのデータを用いることで、プレイバックアタックに成功したという。

Square社はバグバウンティプログラムを主催するなど、脆弱性の発見と対応に積極的であるという。Moore 氏は「それを鑑みた場合、同種の決済サービスにも同様の脆弱性が潜んでいないと言いきることはできない」と結んだ。
《高橋 潤哉》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

    米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

  2. 2017年8月25日 名和利男の目に映った光景

    2017年8月25日 名和利男の目に映った光景

  3. 超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

    超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

  4. デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント

  5. 井之上PR社長 鈴木孝徳のセキュリティ事故発生時の記者会見「べからず集」

  6. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る

  7. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第2回「今求められるSOC、CSIRTの姿とは~世界の攻撃者をOMOTENASHIしないために~」について語る

  8. 最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]

  9. 総務省の「自治体情報システム強靱性向上」、その成果と新たな課題

  10. ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×