« PayPayでクレジットカードの不正利用 | トップページ | PayPay事件のその後 »

2018年12月20日 (木)

PayPayのSMS認証を匿名でする方法を考えてみた

まだ事件の全容もわからず根拠がある話って訳ではないのを最初に断っておきます。

最初に犯人の想定を手口と期間からドコモオンラインショップでiPhoneを不正ログインで購入したり、ポイントを不正に利用していたグループが11月15日のTポイントの仕様変更で次のターゲットを探していたところでPayPayのキャンペーンがあり、悪用できそうな仕組みで狙われたと考えています。

クレジット支払いだとSMS認証で電話番号とサーバーへのログなどが犯人への手がかりとなると思われますが、SMSを匿名でできれば逮捕の可能性が下がると考えられます。そこでいくつかの可能性を想定してみました。

・海外の電話番号等で身元確認が不確かなもの

PayPayが国コードに対応していないようで登録できないようです。

・訪日外国人向けの空港などで販売しているSIM

音声通話やSMSに非対応なので無理。

・SIM開通前にSMS利用

これは対策が立てられて利用できなくなったような。

・荷物の転送の仕事と称して送らせた書類でスマホやSIMを勝手に契約し自分のところに転送させる

以前にオレオレ詐欺でスマホの入手方法としてありましたが、現在は警戒されているのとグループが違うのでノウハウがないかもしれない。

・ネットで割のいい仕事として募集して逮捕のリスクは購入者だけにする

ドコモオンラインショップの事件では逮捕者も出ているのでだし子にあたる実行犯は逮捕されてもかまわないと割り切ってる可能性があります。ただ、これにはもう一歩ひねった方法も考えられて、帰国した人物などから利用していた携帯電話かSIMなどを買い取りそれを悪用すると帰国した人物が書類上の持ち主で実際の持ち主がわからないといった状況は考えられます。

個人的にはもし身元を隠してSMSを利用していたとすると、最後の帰国した人物から買い取った携帯電話かSIMを利用しているのが一番可能性が高いかなと思いますね。

SIMから個人を追えないとなると、監視カメラぐらいしか手がかりがないかもしれないので逮捕も難しいかもしれません。

12/21 追記

SNSでSMS認証代行業者というのが複数ありますね。一つ数百円程度でやるようでPayPayに対応しているのかはわかりませんが、こういったものも使われた可能性があります。ただ、ゲームチート代行業者と同じで詐欺目的のものもあるかもしれないので実際に代行業をやっているとは限りません。

« PayPayでクレジットカードの不正利用 | トップページ | PayPay事件のその後 »

情報セキュリティ」カテゴリの記事

コメント

初めまして

SMS認証はそれ以外にも穴がある可能性もありますね。
単に偽造された本人確認書類で契約しているだけかもしれませんし、
PayPayは使ったことがないので詳しくは分かりませんが、LINEのように認証コードを受け取ってアプリに入力するだけで利用開始が出来るなら、出し子側がSIMを持っている必要もありませんし、代行だった場合は犯人に辿りつくのは更に難しくなると思われます。

かめさんコメントありがとうございます。

知っている限りでは犯罪用に偽造書類で手に入れたケースは無かったと思います。
オレオレ詐欺等の国内のグループでは借金のかたにカードなどで契約させて渡すように強制したり携帯ショップがグルで身元確認せずに横流しとかのケースはあったはずです。
PayPayは最初のアカウント作成時のみSMS認証で本人確認として有効と考えていたんでしょうけど、いろいろと抜け道があるというのを考慮していなかったような気がしますね。
出し子がSIMを持たずに利用することもできると思いますよ、ただ出し子の数が多いとSMS認証にカード情報の指示が大変になるので被害が発表されたものよりもっと多ければ管理が難しくなるかもしれないと考えています。犯罪に利用した電話番号はアシがつくのでその後利用できず使い捨てでしょうし。

偽造した免許証で携帯電話を契約しての犯罪利用があったようですね。私の勉強不足でした。

https://mainichi.jp/articles/20190112/k00/00m/040/154000c
https://archive.is/JR3Ik

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« PayPayでクレジットカードの不正利用 | トップページ | PayPay事件のその後 »