「Samsung Pay」の技術を提供するLoopPayに中国ハッカー集団が侵入



Samsungが今年スマートフォンに投入した一番大きな機能は、アップルの決済サービスに対抗するSamsung Payです。Samsungは、サービスを提供する店舗ではNFCに対応するリーダーなど特別な機器を必要とせず、Apple Payを超える多くの店舗で導入の準備が整ったと発表していました。

中国のハッカー集団がシステムに侵入

しかし、中国のハッカーグループが、Samsung Payの決済機能の主要な技術を提供している、技術ベンチャーLoopPayのコンピューターネットワークに侵入した模様です。SamsungはLoopPayを2億5,000万ドル(約308億5,220万円)以上の金額で今年2月に買収していました。

Samsung Payの米サービス開始は？

LoopPayは8月に自社のネットワークに何者かが侵入したことは分かっていました。ところが8月というのは、Samsung Payのアメリカでのサービス開始を予定していた時期だったようです。

ハッカー、MST技術を盗用か

LoopPayのネットワークに侵入したのは、Codoso GroupやSunshock Groupと呼ばれるハッカーグループで、Samsung Payで使用されている同社の技術をネットワーク経由で盗み出したようです。盗まれた技術はMST(Magnetic Secure Transmission)と呼ばれる、従来のNFCに対応していない、磁気式のストライプカードをエミュレートする技術とのことです。

Samsung Payへの侵入は否定

LoopPayのCEOであるWill Graylin氏はThe New York Timesに対し、ハッカーがLoopPayのネットワークに侵入したことは認めたものの、同社の提供する決済システムには侵入していないと語っていました。また、Samsung Payの決済システムや利用者のデータが侵入された痕跡はないようです。



SamsungのChief Privacy Officer(最高プライバシー責任者)であるDarlene Cedres氏は「Samsung Payで個人情報や決済情報が漏洩するリスクはありません。今回の侵入事件はLoopPayのコーポレートシステムに対するもので、Samsung Payとは物理的に別のネットワークとなっています。また、LoopPayのネットワークへの侵入は即座に対処されており、Samsung Payは何ら影響を受けていません」とコメントしています。

結論はまだ早いのか

しかし、今回の事件を知る、ハッカーグループCodoso Groupの活動に詳しい匿名の専門家は、システムへの侵入が分かったのは8月ですが、これに対応したのは侵入後、5カ月も経った後であり、現時点でハッカーグループが何をしたのかを判断するには時期尚早だと述べています。



今回のハッカーグループによる、侵入したネットワークにバックドアプログラムを埋め込む手口は、今年3月にForbesにも用いられており、悪意のあるコードを使用し、サイトの訪問者を感染させたりしていました。



LoopPayは今回の侵入事件で2つの弁護士事務所と対応を検討している模様ですが、今のところ法的機関へのアプローチはしていないようです。

出鼻をくじかれたSamsung Pay

Samsung Payは侵入事件が発覚してから38日後にアメリカでのサービスを開始しています。情報セキュリティの研究を行う、ハッカーによる事件に詳しいPonemon Instituteによりますと、通常ハッカーによる攻撃が解決するまでに48日は掛かると言われているそうです。





Source : BGR

（リンゴバックス）