2024/01/20

意図せず攻撃者の代わりに paidy の eKYC を突破してしまうと疑われる事象があったので、調査してみた。

<aside> ⚠️

以下ご理解いただける方のみお読みください。

私（iron）が記載している投稿は 一個人の見解 であり、特定の企業や団体の見解や主張ではありません。一つの情報としてご覧ください。
この記事は 注意喚起と同業の方への共有を目的として記載 しています。ここに記載されたフィッシングサイトや事象を模倣すると法令に違反する場合があります。ご注意ください。 </aside>

TL;DR

ユーザが、悪意者の代わりに（i.e., 悪意者の代理で）あと払いペイディの eKYC を意図せず突破してしまう可能性がある事象を X で確認したので調査。
ペイディではオンライン本人確認（eKYC）を完了させるとペイディが提供する分割払いやバーチャルカードの機能を利用することができる。eKYC には LIQUID eKYC が利用されている。
PC で eKYC を実施するとページ遷移の途中でパラメータが付いた URL を経由することを確認。この URL をほかの端末に共有しても本人確認書類の撮影画面にアクセスすることができた。URL の有効期限もある程度長いこともあり、このあたりの仕様を悪用した and/or 悪用しようとしていると考えられる。
悪意者は本人確認が完了したアカウントで上限ぎりぎりまでペイディを利用して踏み倒す（i.e., ）ことを考えていたのだと推測される。ただ悪用するためにはある程度の前提条件があるため、それをどうやって満たすのかが不明瞭。
いつものことだが、誘導の開始部分であるメールや SMS だけを信用せずに、自分がいつもアクセスしている導線（e.g., アプリ etc.）から事実確認をすることがとても大事。

きっかけ

フィッシングハンターである Naomi Suzuki さんが X にて以下を投稿。

メルカリを騙ったフィッシングサイトで画面を進めていくと eKYC（オンライン本人確認）のような画面になる。精巧に作られたフィッシングサイトと思いきや、どうやら本物、つまり paidy が実施している eKYC サイトの操作をすることになっているとのこと。

これにより悪意者の代わりに（i.e., 悪意者の代理で）、あと払いペイディの eKYC を意図せず突破してしまう可能性があると考えられる。ただどういう仕組みでやっているのか（どちらかというとフィッシングサイトの方を）知りたく、調査してみた。