セキュリティレベルの高さを誇るスマホ決済「アリペイ」が、17歳の高校生により攻撃を受け、2万元の資金を移転させるという事件が起きた。犯人はすぐに逮捕をされ、11ヶ月の懲役刑が言い渡されたと支付百科が報じた。
アリペイシステムに侵入したのは17歳の高校生
アリババのスマホ決済「アリペイ」。お金にも等しいものを扱うことから、セキュリティは最高レベルで、運営元のアントグループは、たびたび公開のハッキングチャレンジのようなイベントを開催して、セキュリティレベルの高さをPRしている。また、アリペイのセキュリティ能力の問題により利用者が損害を受けた場合は、アントグループが全額賠償をすることも公言している。
しかし、2020年10月にDDoS攻撃(Distributed Denial of Service、分散型サービス拒否攻撃)を受け、2万元(約35万円)余りの資金が盗まれるという事件が起きた。
犯人は17歳の高校生で、すぐに逮捕され、広東省深圳市龍崗区人民法廷は、アントグループ傘下のアリペイが6000元の損害を受けたことを認定し、計算機情システム破壊罪で、11ヶ月の懲役刑を言い渡した。
この高校生は、アリペイの攻撃の前に、中国南方航空の発券システムにも侵入し、システムを4時間にわたって停止させる事件を起こしていた。
ボットネットのレンタルサービスが存在する
DDoS攻撃は、対象に対して大量のアクセスを集中させ、処理能力をパンクさせることでサービスの運営をできなくしたり、その混乱に乗じて、マルウェアなどを送り込み、システムに侵入をしたりするというものだ。大勢で一斉にいたずら電話をして、企業が仕事ができなくし、その混乱に乗じて社内に侵入するようなイメージだ。
DDoS攻撃を行うには、一斉にアクセスをしてくれる大量の協力者が必要だが、もちろんそんなことに協力をしてくれる人はいない。そのため、ダミーのポルノサイトなどを運営して、大量のパソコンやスマホにマルウェアを送り込む。こうしておいてから、支配下に置いたデバイスに攻撃指示を出すというやり方をする。
支配下に置かれたユーザーは、自分のデバイスが乗っ取られているわけだが、通常は何か悪さをするわけではないので、なかなか気が付かない。攻撃命令が出されても、多少動作が重たくなったり、通信量が増える程度で気がつかない。知らない間に犯罪に加担することになっている。
しかし、このような支配下に置いた大量のデバイス=ボットネットを育てるのはたいへんな手間ひまがかかる。そこで、ボットネット構築の専門業者が存在し、ダークサイドウェブなどでレンタル広告を出している。攻撃をしたいと考えたハッカーは、このようなボットネットをレンタルすればお手軽にDDoS攻撃ができることになる。
▲浙江衛星テレビの「智造将来」で行われたアリペイの公開ハッキングイベント。公安のセキュリティ担当官がハッカー側となってアリペイのシステムへの侵入を試みるというもの。テレビショーとしての演出はされているが、リアルなシステムに侵入を試みている。
偽造商店アカウントを作り、攻撃準備
高校生の呉毅豊は、アリペイにDDoS攻撃をしかける目的で、3.38万元(約59万円)相当のビットコインを使って、geolites.cc、stresser.netの2つのボットネットをレンタルした。さらに、アリペイのサーバー情報なども調査も行なった。
そして、2人の友人にDDoS攻撃や侵入後に資金を移動する操作の手伝いをさせて、DDoS攻撃を実行した。
呉毅豊は、架空の営業許可証を偽造して、架空の会社をつくり、アリペイに商店用の口座を作成していた。個人用アカウントは、身分証の登録などが必要で、身分証の偽造は罪が重いため、審査の緩い商用アカウントを利用した。
商用アカウントを作るのにも、営業許可証や代表者の身分証などが必要だが、直接アリペイに申請しなくても、代理決済業者を通して申請することもできる。代理決済業者は、商店にアリペイだけでなく、複数のキャッシュレス決済を提供し、決済端末やレジ機器、会計ソフトなどを販売する。このような代理決済業者の中には、口座開設の審査が甘いところがあり、それを利用したのだと思われる。
過去最大級の大規模攻撃が行われる
こうして、2020年10月17日2時45分から4時15分までの1時間半、アリペイの24のIPアドレスに対するDDoS攻撃が行われた。送り付けられたパケットはピーク時には5.84テラbpsにも登り、アリペイの決済処理にも影響を与えるレベルだった。1テラbpsを超えると大規模攻撃と呼ばれる。この攻撃はかつてないほどの大規模なものとなった。
資金の奪取に試行錯誤をする犯人
DDoS攻撃は成功したものの、資金の奪取にはなかなか苦労をしたようだ。呉毅豊は、以前から偽のWi-Fiホットスポットを運営し、利用者の携帯電話番号を収集し、マルウェアを送り込んでいた。
アリペイのシステムに侵入後、収集していた携帯電話番号からアリペイアカウントにアクセスし、資金を移動させようとしたがパスワードが解析できず失敗をしている。
次に、アリペイのアカウントリストを探りあて、単純なパスワードを集めたリストを、すべてのアカウントに試し、単純なパスワードを使っているアカウントを探り当てようとしたが、これも失敗した。
結局3人は、偽のホットスポットを通じてスマホに送り込んでいたマルウェアを使って、その人のアリペイのパスワードを単純なものに変更するリモート操作を行い、そのアカウントから資金を転送させるという方法で、資金の奪取に成功し始めた。
アリペイ側はブラックホールサーバーで対抗
しかし、アリペイ側もすぐにDDoS攻撃されていることに気がつき、当然ながら、資金盗難が発生することが予想された。そのため、3回にわたって、海外のブラックホールサーバーサービスを利用した。これは送られてくるパケットをフィルタリングして、ブラックホールサーバーに転送すると、そのパケットを消滅させてくれるというサービスだ。
これにより、4時15分にはDDoS攻撃による障害から脱することができ、盗まれた資金は2万元程度で済んだ。この被害は、呉毅豊などの家族が賠償をしている。そのため、アリペイがブラックホールサーバーを利用した利用料6000元が被害額として認定された。
呉毅豊たちは、ボットネットをレンタルするのに3.38万元を使い、2万元しか盗むことができなかった。しかも、DDoS攻撃の指令を出しているIPアドレスがすぐに解析され、そのIPアドレスの場所も深圳市龍崗区坂田街道であることまで判明し、公安の捜査により、3人はすぐに逮捕されることになった。
アリペイはこれまでさまざまな攻撃を受けているが、その多くを跳ね返し、中国で最も高いセキュリティレベルのサービスだと思われてきた。しかし、17歳の高校生が逮捕されたとは言え、資金転送まで成功したことに関係者は驚いている。
