【悲報】PayPay不正利用、4アカウントで1000万円　SMS認証を偽佐川アプリで突破　クレカ入手は別ルート　詐欺グループ関与か

2019年5月23日、愛知県警はPayPayを不正に利用した詐欺事件で被疑者を逮捕したと発表しました。また2019年6月6日、日本経済新聞はこの事件で不正利用されたPayPayアカウントがマルウェア感染を通じて作成されたものであったと報じました。ここでは関連する情報をまとめます。

PayPayアカウント 不正利用事案の概要

f:id:piyokango:20190607094943p:plain

日時 出来事
2018年12月4日 PayPayで100億円あげちゃうキャンペーンが開始。
2018年12月*1 偽佐川急便のSMSを通じて男性Aがマルウェアに感染。
感染から1時間以内 何者かが男性Aの電話番号を使ってPayPayのアカウントを作成。
2018年12月9日～11日 栃木県の男の所有するPayPayアカウントで約1000万相当の購入記録。
2018年12月10日 栃木県の男が愛知県名古屋市でPayPayを使って約35万円分を不正購入。
2018年12月13日 100億円あげちゃうキャンペーン終了。
2018年12月下旬 PayPayから愛知県警へ不正購入の情報提供。
2019年5月22日 愛知県警が栃木県の男を詐欺容疑で逮捕。
同日 PayPayがセキュリティの改善状況を報告。
捜査担当は愛知県警 サイバー犯罪対策課。
逮捕されたのは栃木県那須塩原市材木町 21歳の男。
愛知県警はPayPayを用いた詐欺事件の摘発は全国で初めてと発表。
容疑は2018年12月10日にPayPayアプリに他人のクレジットカードを登録し名古屋市 千種区の家電量販店で35万円相当の家電を購入した疑い。（詐欺）
購入した家電はブルーレイレコーダー、ノートPCの2点。
男は「雇われて、頼まれて買いにいっただけだ」と供述している。
詐欺グループによる犯行の可能性があり、関係者が他にいないかも捜査中。
運営会社の情報提供が発端

Amazonプライム・ビデオ

運営会社PayPayより警察庁を通じて愛知県警へ不正購入の情報提供が行われた。*2
PayPayは12月4日～13日の間に確認した不正発生率を0.996%と発表している。
不正利用の原因がCVV試行とも噂された当時、外部入手したカード情報悪用の可能性が高いと報告していた。
不正購入記録は1000万円

コンビニ、家電量販店など29店舗合計して約1000万円相当の購入記録がある。*3
コンビニでの購入物 電子タバコ等 約１００万円相当
家電量販店 ノートＰＣやデジタルカメラ等 約９００万円相当
購入時期は2018年12月9日～11日。
被疑者の男は4つのアカウントを所有し不正購入していたとみられる。
マルウェアで本人認証回避と報道

www.nikkei.com

日本経済新聞がマルウェアを通じてPayPayアカウントが作成されたと報道。
作成されたのは詐欺容疑で逮捕された男が利用していたアカウント。*4
本人認証に用いられた電話番号は栃木県の男とは関係のない男性Aのものだった。
男性Aは佐川急便を装ったSMSを通じてマルウェアに感染していた。
本人認証登録時にSMSが届くが、男性Aのスマートフォンには届いていなかった。
PayPay側は事実関係を把握していないとコメントしている。
カードが悪用された男性BとAは別の人物。
Roaming Mantis攻撃活動に関連したマルウェアの可能性

偽佐川急便のSMSで偽サイト誘導後にマルウェア感染と記事中説明がある。
この説明から男性AはAndroid向けマルウェア MoqHao（XLOADER）またはFAKESPYに感染した可能性がある。
これらはKasperskyなどが報告している攻撃活動「Roaming Mantis」で確認されているもの。
両マルウェアともSMSなどの機密情報を外部へ流出させる機能が存在するとの分析レポートが公開されている。
https://piyolog.hatenadiary.jp/entry/2019/06/07/063000