クレジットマスターの恐怖 80
ストーリー by hylom
Business::CreditCard 部門より
Business::CreditCard 部門より
あるAnonymous Coward 曰く、
やや旧聞になるが、産経ニュースによると、クレジットカードの番号には特定の法則があり、正しいカード番号と有効期限が一組手に入ればその番号から同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ。
なぜカード番号と有効期限に法則性があるのか疑問だが、なんらかしらの事情があるのだろう。記事では「スーパーコンピュータを使って番号を作り直せばいいのでは」というカード会社関係者の話も載っているが……。
Internet Watchの記事によると、他人のクレジットカード明細書を盗み、明細書に記載されている一部がマスクされたカード番号から正しいカード番号を導出される事件も発生しているそうだ。
ユーザー数が少ない方が安全? (スコア:3, おもしろおかしい)
> 同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ
という事はビザよりマスターやJCBの方がまだ安全という事ですね
Re: (スコア:0)
ということは、AMEXやダイナースの方がさらに安全ということですね。さすが!
# s/マスターやJCB/某マイナーなOS/、s/AMEXやダイナース/某マニアックなOS/、・・・あれ?
Re:ユーザー数が少ない方が安全? (スコア:1)
AMEXはそもそも桁数や桁区切りが違ってませんでしたっけ?
Re:ユーザー数が少ない方が安全? (スコア:2)
手持ちのカードを見たところ、ダイナースは14桁でした。
HIRATA Yasuyuki
っつーか……… (スコア:3, すばらしい洞察)
三井住友VISAカード&三井住友マスターカード加盟店規約(通信販売[含EC]用) [smbc-card.com]を見る限り、
第13条(信用販売の手順)
1.加盟店は、前4条によりカードによる信用販売の申込みを受けたときは、申込書、申込受付
書、申込みデータに基づき、遅滞なく全件について、当社の定める方法によりカード会員番号、
カードの有効期限、売上債権額、会員認証手続を実行したときはその結果等を当社に通知して、
信用販売の承認を得るものとします。但し、当社より要求を受けた場合は、会員氏名等、その他
の申込情報を通知するものとします。当社の承認が得られなかった場合はカードによる信用販売
を行わないものとします。
で、カードホルダーネームが原則が入ってないのがまずいんじゃないのか?
新聞記事を見る限り、楽天はカード名義者が違っていても買えていたという報道あったし(ただ、カードの明細盗む手口だと無力だけど)。
Re:っつーか……… (スコア:1)
同感。
私も IT Media のこの記事 [itmedia.co.jp]を読んだときに、「えっ、名前って確認しないの?」と思いました。
郵便物を盗まれたようなケースはともかくも、適当な番号を推定して使う場合なら、名前を入力させるだけで、全然違うと思うんだけどなぁ。
個人でも解読できます (スコア:2, おもしろおかしい)
ちょうど安いスパコンが発売されています [srad.jp]。数人解読すれば回収できるでしょう。
0123-4567-8901-XXXX (スコア:2, 興味深い)
12桁も晒して伏せてるのがたった4桁とか、さすがに元記事が間違ってることを祈りたいものだが…。
ちなみに最初の4桁はカードの発行元と種類で固定なので、クレカ会社の明細だけで8桁は筒抜けになるのでご用心
Re:0123-4567-8901-XXXX (スコア:2)
でも、
>> 正しいカード番号と有効期限が一組手に入れば
>> その番号から同じ有効期限をもった実在する
>> 他のカード番号をかなりの確率で生成でき
たとして、card holderが判らんと思うのだけど
名義人と、番号と、有効期限と、3桁の確認コードの全てが揃っていないと決済出来ないという訳では無いの?
Re:0123-4567-8901-XXXX (スコア:2)
カードの確認に、カード裏の確認コード (っていうんだっけ) を入力させる通販サイトもあるけど、そういったサイトをクラックして確認コードごとコピーされたら意味ないよなあといつも思うんですけど。
普段店頭でしか使わないカードなら現実にカードを持っている確認にもなるんでしょうが、普段からネット使ってたら、どこかから漏れて使われたら同じなんじゃないかな。
それはともかく、自分のカードは表のカード番号と裏の確認コードを暗記しちゃったから、カードが手元になくてもネット通販利用可能になっていたり。まったくなんていうセキュリティ。
Re:0123-4567-8901-XXXX (スコア:1, 興味深い)
apiのパラメータに「名義人」はありません。
もちろん最低限の情報なので、アプリケーション側で3Dセキュアを使ったり、ということは可能です。
Re:0123-4567-8901-XXXX (スコア:1)
先々週(Master)と先週(VISA)、立て続けて2枚無効になりました
Masterの方は、電話連絡が付かないので電話下さいという手紙
電話したら、怪しい決済があったので、無効にしましたとのこと
そりゃ、秋葉原の店頭で買い物した同じ日に、米国でガソリン給油したら怪しいよな (朝秋葉原に寄ってから同日午後飛べば、有り得ないことは無いが…そもそも僕は運転免許が無い)
こちらは、今春米国Radissonに泊まった際に使ったので、http://www.itmedia.co.jp/news/articles/0908/20/news024.html
に当たっちゃったのでしょうか
Visaの方は、連休中決済出来なかったので、帰国後電話したら、スウェーデン・スペインの店頭で多発的に使われたので仮に無効にしたとのこと
こっちは身に覚えが無いので、クレジットマスタ?
スウェーデンは5年位行っていないし、スペインも今年は行っていない
両社も、決済1つづつ、「これは身に覚えありません」「これは確かに使いました」と電話で確認して、正式に無効化
後日、番号を変更したカードを再発行し、受け取り次第、現在のカードを返送することになっています
両社とも、カードの現物が手元にあるのかと念を押され、確実に返送する様に言われたので、これを免責の証にするのでしょうか
Re:0123-4567-8901-XXXX (スコア:2, おもしろおかしい)
0123-4567-8901-XXXX
某サイトBの伏せ方
XXXX-XXXX-XXXX-2345
まぁ昔は丸見えだったりセキュリティコード不要だったりでしたからそれよりはマシでしょうけど。
Re:0123-4567-8901-XXXX (スコア:1, おもしろおかしい)
>0123-4567-8901-XXXX
計算式はわからんが、これなら自分でも予想できる!
Re:0123-4567-8901-XXXX (スコア:1, 参考になる)
かつてのイオンクレジットは、カードを送付してくる際、宛先氏名の下にカード番号を逆の桁から並べかえただけの番号が印刷されてた記憶があります。
JR東日本の発行するビューカードの場合は、今でもカード番号のうち上5桁を除いた数字が印刷されています。ちょっとこれはひどいんじゃないでしょうか。カードの有効期限のほうは郵便物送付時期から推測できるでしょうし。
そういえば数年前くらいまでは店頭でカードを使うと番号がレシートに印刷されてましたね。
Re: (スコア:0)
あ、ふたつ組み合わせたら全部わかるじゃん…
法則性 (スコア:2)
> なぜカード番号と有効期限に法則性があるのか疑問
前後に申し込んだ人に割り当てられる番号がわかれば、
丁度月の変わり目だったり、
学生カードなど有効期限が変則的なものでない限り、
同じ有効期限だっていう理屈じゃないかな?
Re:法則性 (スコア:2)
同じ時期に申し込んでも、人によって有効期限が2年だったり5年だったりするので単純にはいきませんが、月は普通同じですね。 学生カードでも有効期限は大抵の場合年単位のはず。 卒業する年になったら、一般カードに切り替わって初年度年会費無料が多いと思う。
HIRATA Yasuyuki
Re:法則性 (スコア:1)
私も「カード番号に有効期限を埋め込んでいるわけないよなー」と
最初は思ったのですが、例えばカードの有効期間を5年(=60ヶ月)と
仮定して、全カードを60のグループに分割し、有効期限(月/年)が
同じもの同士を同一グループに入れるような仕組みになっていたら
直接埋め込んでいなくてもこういうこともあり得るかな、と思いました。
# まるっきり根拠ないけど。
カード番号に有効期限を埋め込んでいるわけない (スコア:0)
と思いきや、私が使ってるローソンパスのVISAカードだと、カード番号の下四桁が「2007」なんですが(滝汗
(もちろん、2007年に作ったカードです。。。)
有効期限を5年と仮定されたら、12分の1の確率で有効期限も当たりですねorz
# それとももっと確率が高い話なのかな?
Re:カード番号に有効期限を埋め込んでいるわけない (スコア:1)
Re: (スコア:0)
自分の持っているカードだと、ABCD-EFGH-IJKL-MNOPのうち
ABCD-EF カードの種類。固定。
GH-IJKL なんと連番。びっくり。
M 本会員は「1」
N 再発行回数?「0」
OP チェックサム?
同時期に発行されたものは似たような有効期限ですから、とても不安がありますね。
Re:法則性 (スコア:5, 参考になる)
最初の6桁:国際ブランドなどや発行会社の判別(銀行識別番号)
真ん中の9桁:個別の識別番号
最後の1桁:クレジットカード番号が正しいかどうかを確認するコード
http://card.benrista.com/card_number.html [benrista.com]
カード番号は下記の計算でチェックすることができます
1.カード番号の奇数桁目を2倍にし、値が10以上になったら9を引く
2.それぞれの数字を足す
3.2の結果が10の倍数になったら正しい番号。10の倍数で無ければ不正な番号
http://kawama.jp/archives/2006/01/post_139.html [kawama.jp]
うえの法則を利用することで番号を自動生成できます
クレジットカード番号ジェネレーター
http://members.fortunecity.com/glaszta/creditcard.html [fortunecity.com]
Re:法則性 (スコア:1)
ドウシテオレハ、ココニイルンダ!
一体だれの”恐怖”か? (スコア:2, すばらしい洞察)
少なくとも普通一般のカード利用者にとっては、万一勝手に番号を使われて
一時的に口座の金が引き落とされる事があったとしても、被害者である事が
明らかになれば、お金は戻ってきます。
ちょっと気味は悪いけど”恐怖”するほどではない、という印象です。
では被害を直接被るカード業者はどうか?
記事にもある通り、カード番号の規則性うんぬんは随分昔からアングラで
広まっており、本当にそれが恐怖に値する危機ならば、これまでに手は打たれて
いるはずです。
これまた”恐怖”とは程遠い状態ではないでしょうか。
Re:一体だれの”恐怖”か? (スコア:1, すばらしい洞察)
無くならない最大の原因じゃないかと思います。
> では被害を直接被るカード業者はどうか?
戻ってくるとはいえ、それはカード利用者が払っている会費や利用料金から出される
保険から戻ってくるだけで、カード会社が負担しているわけではありません。
一部の被害者の損害を全利用者が負担しているようなものですね。
こういう簡単に悪用できるカード犯罪が増えたときに恐怖するのは、その影響で
会費が大幅値上げされるかもしれない全利用者ですね。
> 記事にもある通り、カード番号の規則性うんぬんは随分昔からアングラで
> 広まっており、本当にそれが恐怖に値する危機ならば、これまでに手は打たれて
> いるはずです。
ある程度は対策していますが、その都度突破する手段が出ているということですね。
また、被害は保険で補てんされることから、カード会社も本気で対策したり、
犯人や犯行グループを封じ込めることまでしないようです。
Re:一体だれの”恐怖”か? (スコア:1)
> 被害者である事が明らかになれば、お金は戻ってきます。
とは聞くのですが、実際のところ、被害者であることをどの程度立証すればいいのですか?
「こんなの買ってない」と言うだけでいい? その時のアリバイが完璧でなければならない?
1を聞いて0を知れ!
Re: (スコア:0)
カード会社が潰れそうになるほど詐欺が横行した時期を考えれば、こんな話がニュースになる事自体驚きです
#日本の話ではありませんが
Re:一体だれの”恐怖”か? (スコア:4, すばらしい洞察)
定期的にニュースにする価値はあるんじゃないですか。
要するに、カードの明細はちゃんと毎月見ましょう、おかしなところがあればカード会社に確認しましょうと、定期的に啓蒙するわけです。
明細書の封を切ってすらいない人、周りにいたりしませんか。
Re:一体だれの”恐怖”か? (スコア:1)
いまいち家族にはそのメリットが伝わらなくてこれを餌にしようと思います。
まぁ、webサービスはそれはそれで便利ですが
能動的に見に行かないと明細を確認しないので
それはそれで不便なんですけどね。
ただ、携帯やらカードやらで毎月5〜10個は明細が届いているわけで
それを全部100円引きにしたらけっこうな節約ですよ。と私は思っています。
Re:一体だれの”恐怖”か? (スコア:1)
ネットバンクだと振込・引落があった際に即日メールしてくれるサービスがあるのに、
探した限り、クレジットカードでは決済通知メールを即日で送ってくれるところは無いんですよね。
「そんなことをしたら、消費が冷え込んでしまうじゃないか」
いやごもっとも。。機会損失>被害額なんでしょうね。
Re:一体だれの”恐怖”か? (スコア:2)
日本では、与信処理(すごくぶっちゃけると利用枠の確保)自体はほぼリアルタイム化されていますが、実際に決済が確定するのは締め日です。与信をとってから決済するかどうかは締め日までに確定すればいいので、与信をとっても決済をキャンセルとかふつうにありますし(サインが違うから破棄とか)、トランザクションのたびに顧客に通知すると、却って混乱を招くかと。
リアルタイムではない与信処理というのは、典型的にはカード番号をカーボンで写し取るやつ。
Re:一体だれの”恐怖”か? (スコア:1)
正確な意味でのクレジットカードではない(VISAデビット)ですが、
イーバンクマネーカードだとクレジット決済時にメールが飛んできます。
金額はWEB見に行く必要があったと思いますが・・。
---にょろ~ん
Re: (スコア:0)
Re: (スコア:0)
Yahoo!って2ヶ月ぐらい遅れて請求してくるよね。
解約しても請求が続いているみたいで鬱陶しい。
クレジットカードの番号の検証用ツール (スコア:2)
有効期限 (スコア:2, 興味深い)
オンラインゲームで登録したクレジットカード
登録した時に入力した有効期限が過ぎても・・・3年も過ぎても特に何事もなく引き落としが続いてるので、有効期限って何の役に経っているんだろう?と問い合わせてみた。
最初の決済時の認証にチェックのために使うだけで、それ以降は何にも使わないんだそうな。
洗い替え (スコア:2, 参考になる)
洗い替え [google.co.jp]という仕組みを使って継続課金すれば、有効期限延長の追跡は可能だそうです。
Re:洗い替え (スコア:3, 参考になる)
月額課金形式の請求の場合は、まず初回請求のときにカードオーソリを実施し、翌月以降は有効性確認(洗替)という組み合わせで実現していることが多いです。
通常のショッピングでカード決済する場合、よく見かけるCAT端末(Terminalが被ってますがご勘弁)に金額を入力するのはご存知かと思います。このときのカードオーソリゼーションは与信枠の確保も行います。その際、カード会社から承認番号を取得し、その承認番号でカード会社に請求します。このときは期限切れのカードではオーソリ承認が下りません。
一方、有効性確認(加盟店→カード会社)のデータには金額の項目がありません。すなわち、幾らのお買い物なので与信枠を幾ら確保するということがなく、カード番号+有効期限でカードが使えるか使えないかということを問い合わせます。有効性確認結果(カード会社→加盟店)のデータには有効期限変更フラグだとか、カード番号変更フラグという項目があり、カードが有効か無効か、カード番号や期限の変更有無、変更後カード番号・有効期限が返却されます。加盟店側はこの結果を元に新カードに請求することができるわけです。
なお、有効性確認は与信枠の確保がされていないこともあり、3万円(フロアリミット)を超える決済はできないことになっています。3万円を超えない範囲の月額課金に適した方法といえるでしょう。
Re:有効期限 (スコア:1, 参考になる)
その後、パスワードがわからなくなって再入会。
その後、使っていたISPを解約してメールアドレス消失。
パスワードリマインダに設定した答えも忘れた。
パスワードリマインダのために使うべきメアドもISP解約で使用不可。
解約できません。
という具合に、数年間ただYahoo!に金だけ払ってました。
Yahoo!はフォームとメールでしか問い合わせを受け付けませんが、
この間何度も問い合わせしても一度も回答なし。
カード会社に連絡しても、Yahoo!の請求だけとめるのは出来ない
というばかりで、お金は取られる一方。
「もう、このカード解約してしまえ」と最終手段。
めったに使わないヤフオクなんて契約した妻が悪いんですけどね。
Yahoo!の対応は最悪です。
電話連絡窓口も作れよ。
Re:有効期限 (スコア:1)
解約でもいいですが、番号変更というか再発行みたいなことができたと思います。
LIVE-GON(リベゴン)
関連ストーリーに追加願います (スコア:1, 参考になる)
トヨタ車の連続盗難、専用合鍵作製ソフトが使われる
http://srad.jp/security/article.pl?sid=08/09/03/0522253 [srad.jp]
別にたいした問題じゃない (スコア:1)
クレジットカードの番号は不特定の相手に公開する情報なので、これが知られたところで何も問題ない。サインが一致しない場合には支払い義務は無いので気にしなくていい。
Re:別にたいした問題じゃない (スコア:1, 興味深い)
問題意識の持ち方が違うんですよ。
「カード番号を盗用された一個人に対して損害額が請求されるわけではないから問題ではない」という考え方と、「カード会社が直接は損害を被るが、結局は年会費や決済手数料のような形で消費者に薄く広く請求されるから問題だ」という考え方。
全員が全員前者の考え方で運用していたら、クレジットカード決済なんてスキームは簡単に崩壊するでしょうね。
Re:別にたいした問題じゃない (スコア:2, 興味深い)
でも現実問題として、不正利用の横行しているクレジットカードと、不正利用のほとんどない電子マネー、どちらも手数料は大差ないんですよね。ってことは、不正使用による損害額は利用手数料を押し上げるほどのものではないと言う事です。
解説希望 (スコア:1)
この記事、何度読んでもよく分かりません。
一般人向けでかつ詳細をぼかしているから??
1. チェックディジットの計算方法が知られているので、有効な番号が作成できる。
2. ある計算方法により、正規に発行されている番号が作成できる。
このどっちかでしょうが、1だったら何を今更という感じ。調べれば簡単に分かるはずです。
2だったら問題視する理由も分かるんですが。
まぁ、カード番号なんて簡単に漏れるものなので、そもそも番号と有効期限だけで
承認するあたりが根本的な問題であるように思いますが。
# 数年前まではレシートに名前/番号/有効期限が入っていることも珍しくなかったし。
Re:解説希望 (スコア:1, 興味深い)
クレジットマスターはクレジットカード番号のジェネレーターの名前です(最終更新はv4で1995年。DOSプロンプトで作動する古いソフト)。
古いUG系のサイトにまだ落ちていたので試しに走らせてみましたが、Windows7では動かず、XPで動かしてもロゴ画面でフリーズしました。(Windows95や98でないと動かない様子)
さすがにそんな古いツールを今時使っている人はいないと思うので、クレジットマスターというのはカードジェネレーターを悪用した手口を意味するマスコミの造語として捉えていいと思います。
1.の方式は古くからあるmod 10アルゴリズム [darkcoding.net]を用いた計算で整合性のあるカード番号を生成するものですが、有効期限は生成されないため、下手な鉄砲数打ちゃ当たる方式で有効期限を試す必要があります。
今回の件は、既存のカード番号を入力すると、その番号から逆算して別のカード番号を生成するため、生成元のカードの有効期限が一致する確率が高い(なぜ?)、ということなので、1.の進化系、2.未満のツールなのではないでしょうか。
クレジットカードジェネレーターは山ほど存在するので、そういうツールがもともとあるのか、犯人が独自に計算式を導き出したのかもちょっとわからないですね。
それでは (スコア:0, おもしろおかしい)
大量のカード番号をスキミングで入手して、
法則性を割り出してカード番号を生成しましょう。
あれ?
古典的手法 (スコア:0)
クレジットマスターはソフトの名前で手法の名前じゃない
それらに対応するためにセキュリティーコードや名義人のにゅりょくが必要になっているところが多い
やられても名義人には百パーセント落ち度がないのでカード会社が必ず保障してくれる
結論 恐怖を煽るような事じゃない
Re: (スコア:0, オフトピック)
被害者の郵便物を盗んでるので、名義はゲット済み。
使ったのがホテルの宿泊費何かなので、セキュリティコードの入力は無し。
また、楽天トラベルの顧客情報も入手していたので、もしかするとセキュリティコードも
知っていたかも。
> やられても名義人には百パーセント落ち度がないのでカード会社が必ず保障してくれる
それはあくまで被害者が気づいて、カード会社にそれなりの手続きをした場合。
そうじゃなければ、カード会社にとっちゃ、いいお客様。
> 結論恐怖を煽るような事じゃない