銀行アプリに250億ドルの穴　ホワイトハッカーが未然に防ぐ

June 8, 2016 12:00
by 『The Hacker News』

銀行の脆弱なモバイルアプリのため、セキュリティ研究者はインドの大手銀行の一つから250億ドル程度を盗み出すことも可能だったようだ。

昨年末、セキュリティ研究者のSathya Prakashが、銀行（名は伏せられている）のモバイル取引アプリに重大な脆弱性を多数見つけた。この脆弱性によって、ほんの数行のコードのを利用するだけで、彼は銀行の顧客の一部もしくは全員からお金を盗み出す事もできたのだ。

Prakash氏はホワイトハッカーだったので、セキュリティーホールを利用してこの銀行の預金250億米ドルを盗み出すのではなく、直ちに銀行に連絡を取り、モバイルアプリの重大な問題について警告し、銀行がこれらを修正するのを手伝った。

モバイル取引アプリを解析したPrakash氏は、このアプリにはCertificate Pinningが実装されていない事を発見した。このため中間者攻撃によってSSL接続をダウングレードさせ、不正に発行した証明書を用いた平文のリクエストをキャプチャーすることができる。

参照：ハッカー、バングラデシュ銀行から8千万ドルを盗み出す

この他にもPrakash氏は、このモバイル取引アプリには安全でないログインセッション構造があることを見つけている。攻撃者がログインパスワードを知らない場合でも、標的の口座保有者の代わりに重大な取引ができるというものだ。これを悪用すると、被害者の現在の残高や預金を確認したり、新しい受取人を追加したり、違法な取引を行うことなどができる。

「CURLによって資金振替APIコールを直接起動すると、受取人/受益者のアカウント確認を回避することができた。私は、自分の受取人リストにない口座に送金することができた」と Prakash氏はブログに投稿した。

「銀行の顧客の記録（現在の口座残高や預金）の列挙するのに必要なのは、たった5行の（エクスプロイト）コードであった」

他の誰かの口座からお金を盗む

Prakash氏は、このアプリがカスタマーIDや取引認証PIN（MTPIN）ー 資金の送金や、新しい定期預金設定のために使用する−が実際に送信者のアカウントのものなのかどうかチェックしていないことを発見した。

モバイル取引アプリのこの重大なミスによって、このアプリを使用し、銀行に口座を持つ人なら誰でも他人の口座から資金を送金することができた可能性があるとMotherboardは報じている。

「私は、自分の家族の口座をたくさん使用してこのハックをテストした。そのいくつかは、ネットバンキングやモバイルバンキングを有効にさえしていない」とPrakash氏は付け加えた。「そしてこれは魔法のようにうまく効いたんだ」

Prakash氏は、このようなバグを悪用する代わりに、2015年11月13日に、責任を持って銀行にメールを送信した。そして数日後に銀行の部長代理からセキュリティ上の欠陥は修正されたという連絡があった。しかし不当なことに、彼にはバグ報奨金が出されなかった。
　
翻訳：編集部
原文：Hacker finds flaws that could let anyone steal $25 Billion from a Bank
※本記事は『The Hacker News』の許諾のもと日本向けに翻訳・編集したものです