韓国のChung-Ang UniversityとAjou Universityの研究チームが開発した「MagSnoop: Listening to Sounds Induced by Magnetic Field Fluctuations to Infer Mobile Payment Tokens」は、スマートフォンをかざすだけで決済が完了するサービスにおいて、決済時の音を盗聴して乗っ取る手法だ。あらかじめ仕込まれた攻撃者のアプリが決済時の音を内蔵マイクでこっそり遠隔で盗聴することで、不正に取得したトークンで買い物し放題になる。

 MST決済サービスの実行時には、決済トークンを暴露する特定のパターンの音(MSTサウンドと呼ぶ)を生成する。スマートフォンには、ワイヤレス充電の効率を高めるための磁気シールドなど強磁性体を用いたハードウェア部品が複数あるためだ。このような材料にMSTコイルの磁界が加わると、磁区が移動することで変形する(磁歪効果)。

 この変形が材料の振動を引き起こし、最終的にMSTサウンドを発生させる。このためMST決済が開始されると、磁気の波が周期的に放出されるたびにMSTサウンドが発生する。