パスワードを忘れた? アカウント作成
15673464 story
暗号

クレジットカード番号とセキュリティコードの生成アルゴリズムを調べ、紙とペンで計算・生成 56

ストーリー by nagazou
根性 部門より
アルゼンチンで新聞販売店を営む男性が、169件のクレジットカード詐欺をおこなったとして逮捕されたそうだ。発表によると容疑者のFernando Falsettiは、クレジットカード詐欺により日本円で約100万円相当の被害を発生させたという。話題になったのはその詐欺の手法(LA NACIONInfobaeGIGAZINE)。

警察が押収したノートから、同容疑者がクレジットカード番号とセキュリティコードを生成するアルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していたことが分かったとのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 関連リンク (スコア:2, 参考になる)

    by Anonymous Coward on 2022年05月27日 18時06分 (#4257549)

    番号の生成規則はかなり解明が進んでいる。今回新しいのはセキュリティコードの生成規則が割れているというところ。
    セキュリティコードにこれといった決まりはないので、アルゴリズムとも呼べないようなザルな附番規則だったのか、それとも容疑者が天才的なセンスを持っていたのか、気になるところ。

    • by Anonymous Coward

      サンプルをどうやってどのくらい集めたのかなあ

      • by Anonymous Coward

        ストーリーに「新聞販売店を営む」とあるので、過去のインプリンタ決済とか一般人より収集し易かったのでしょうね。

      • by Anonymous Coward

        新聞販売店を営んでいたということだから、購読者から集めたのでは

  • by Anonymous Coward on 2022年05月27日 16時14分 (#4257468)

    >クレジットカード番号とセキュリティコードを生成するアルゴリズム

    ランダムじゃないのかよ…。

    • by Anonymous Coward

      種になるのはカード番号と有効期限ですかね。
      全部がそうとは言わないけどクレカってやっぱり雑なシステムなんだなぁ。

      • by Anonymous Coward
        導出値にしておけば3〜4桁の数値を保存しておくDB領域を節約できて利益アップ、悪用されても保険でカバーすればヨシって考えなんだろうなぁ
        • by asano_nagi (37547) on 2022年05月27日 17時58分 (#4257537) ホームページ
          実際その通りで、セキュリティのために、詐欺行為 etc.による損失分を上回る投資は無駄だというロジックですから。
          --
          ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
          親コメント
          • by Anonymous Coward

            というより今まで発行しちゃったカードどうすんのよっていう問題があって…
            少なくとも番号として有効なカードが現在カード会員に割り当てられた番号かというと微妙ですね。なのでその段階でくじ引き。

        • by Anonymous Coward

          カード番号を秘密鍵(全カードで共通のただ1つの秘密鍵で良い)で暗号したものの最初の部分、とかにしておけば、
          十分ランダムかつ、カード番号とセキュリティコードの組み合わせをいくつ集めても解読されない、みたいな仕組みは全然実現可能なはず。
          怠慢という他ない。

          • by Anonymous Coward

            #4257512 [srad.jp]を見るとそうしてるっぽいんだけど何が怠慢なの?

        • by Anonymous Coward

          セキュリティコードということはネット取引だろうけど、アルゼンチンはカードの番号さえ合えばいいのか。
          昔、ネット通販(日本の)で電話番号入れ間違えたときは決済通らなかったけどなあ。
          電話番号見てるなら氏名も見てるだろうし。

          • by Anonymous Coward

            何を頓珍漢なこと言ってるの???

  • by Anonymous Coward on 2022年05月27日 16時13分 (#4257466)

    詐欺なのか?

    • by Anonymous Coward

      他人の信用情報を不正に利用した、という事なのでしょうかね
      キャッシュカードだったら窃盗になるとか?

    • by Anonymous Coward

      他人の信用情報を不正に使ってるから普通に詐欺だと思うけど違うの?

    • by Anonymous Coward

      存在しないカードの所有者に対する詐欺ではなく、カード会社か店に対する詐欺なんでしょうね

  • by Anonymous Coward on 2022年05月27日 16時15分 (#4257470)

    数学の才能がある人は紙とペンのほうが効率がいいのかな?

    • 考える時は紙とペンが効率良いですが計算法が分かってるならプログラムなりExcelなりでやった方が良いですね。
      何度も似たような計算したくないし。

      親コメント
    • by Anonymous Coward

      てっきりEXCELの出番かと思ってた
      #最近、紙とペン使わなくなったな(ここ数年シャープペンの芯買ったことない)

    • by Anonymous Coward

      数学の才能とか関係なしにプログラミングでも設計段階なら紙とペンで事足りるでしょ。
      実際は設計書からコード起こせるようにするためにエディタやエクセルで設計書書く訳だけど。
      それはさておき今回のように純粋にアルゴリズムを見つけ出すという作業においてコンピュータの出番は無い。
      見つけたアルゴリズムから大量に番号を生成する時がようやくコンピュータの出番となる。

      • by Anonymous Coward

        見つけたアルゴリズムから大量に番号を生成する時がようやくコンピュータの出番となる。

        という部分ですが、

        アルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していた

        生成するときも紙とペンなのねって話では?

    • by Anonymous Coward

      数学の才能がある人は紙とペンのほうが効率がいいのかな?

      うーん四季をコードと捉えると分かりづらいけど
      結局は現実の事象を表すものなので
      記載する配置がコード的だと直感的にならないんですよね

      これは斜め上に小書き
      これはちょっと左下に大きく
      とか書き込んでおくことで
      全体の意味が視覚的に変わってくるのが手書きの良さというか
      別とは四次元的に書ける時空間エディタなんでしょうな

      定形書式ありきで思考を閉ざさずに済むってのが利点かと

      強いてコードエディタで再現するなら色やフォントを部分的に変えるとかですかね
      仕様の確定、未確定
      構築の完了、未完了
      経験的予測による附則がでしょうな箇所とか

      # まぁフローチャートや工程表でやれよな感じのものだけどそこは畑が違うってことでひとつ

      • by Anonymous Coward

        四季って式のこと?
        物凄く考え込んでしまった

        • by Anonymous Coward on 2022年05月27日 18時22分 (#4257561)

          Vivaldiブラウザの暗喩かも

          親コメント
        • by Anonymous Coward
          そうそう。でね、
          > 四次元的に書ける時空間エディタ

          春夏秋冬の四次元ごとにエディタがあるとか、結構話が繋がってるのね。

          このような高度(高次元?)なTypo技術をスラド編集者諸氏も学んでいただきたい、と。
          • by Anonymous Coward

            四季は円環する非ユークリッドな一次元でしょ(知らんけど)

        • by Anonymous Coward

          > 四季って式のこと?

          いいえ、「Le quattro stagioni」の事です。

          ターラララララーラー

      • by Anonymous Coward

        すこしは、別とはのことも気にしてあげてください。

  • by Anonymous Coward on 2022年05月27日 16時16分 (#4257471)

    ランダムで生成→ダメなのをのぞく(同じ文字が連続とか)→それを利用
    だといままでずっと思ってた

    • by Anonymous Coward on 2022年05月27日 17時17分 (#4257512)

      カード番号、有効期限、サービスコードを暗号化キー(CVK = Card Verification Keyという)によって符号化、十進化した結果から算出される。

      なんで256ビットのCVKキーさえ知ってれば計算できることはカード会社としては既知のリスクだったのかも。
      まあ漏れるわけないだろと思ってたんだろうけど。

      親コメント
  • 元記事の絵を見ると、最後の桁のチェックデジットを「発見」したように見える。

    クレカのカード会社の番号部分、契約者、カード発行連番、チェックデジットという
    一般に知られたカード番号の構造を経験から「再発見」したということだと思った。

    スペイン語読める人、確認してくれませんか?

    • by Anonymous Coward

      機械翻訳によるとセキュリティコードも生成してることになってるけど、記者がチェックデジットとセキュリティコードをごっちゃにしてる可能性もあるから分からないね。

      • by Anonymous Coward

        別々のメディア(LA NACIONとInfobae)が揃ってチェックデジットとセキュリティコードをごっちゃにしてる可能性は低いと思うんだよね
        写真のモザイクの掛け方がそれぞれで違うから、互いに独立してソースから情報を得て書いているはず
        ソース(警察?)がチェックデジットとセキュリティコードをごっちゃにしてる可能性もなくはないけど……そこ疑ったらキリがないからね

        • by Anonymous Coward

          >写真のモザイクの掛け方がそれぞれで違うから

          La Nationの方が1部モザイクかけてるのを、より広範囲でかけてるのがInfobaeってだけなのでは

    • by Anonymous Coward

      GoogleレンズでGoogle翻訳に掛けてみると良いかと。走り書きも結構読めますよ。
      元記事の絵はカード番号の構造やチェックデジットについてのメモのようですね。
      ただし記事にはセキュリティコードと書いてあるので、どちらを信じるか……。
      セキュリティコードの生成アルゴリズムを解いたというのが本当だったとして
      それを記したページを警察がメディアに公開するわけないでしょうから。

    • by Anonymous Coward

      自分もこっちだと思った
      クレジット番号が不正かどうかその場で簡単にチェックする仕組みとして便利だろうし
      もちろんそのチェック通ったからって全て使えるとは限らないけど
      単純な入力ミスを弾くシステム作る時に便利
      そのチェックを通過したものだけをDBアクセスして確認する仕組みならDBの負荷も下がるからね

      でもセキュリティコードまでするって手を抜き過ぎな気もするけどw

  • by Anonymous Coward on 2022年05月27日 17時50分 (#4257529)

    番号生成するツールありましたね
    昔はガチャンコで転写してたときは使えてたらしい
    無記名かーどが通販で売られててパンチャーでカード番号など打ててましたしね

    流石に現代では通信で何重にも即座にチェックされますので簡単ではないようです
    アルゼンチンでは未だに郵便でカード会社とやり取りしてるんですかねぇ?

    • クレジットカードの番号が正しいものか否かを判定(VISAの正しい番号とか)は見たことがあります。(軽く 30年以上前・だから、当時はセキュリティコードは未対応)

      これで、ランダムに番号を入れてOKが出たものを使えば良かったのかも。
      --
      ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      親コメント
      • by Anonymous Coward

        チェックサムは今でもあるよね。完全ランダムでは無い。

        長い文字列だから入力ミスは頻発するし、そういうのはDB参照無しに即判断して「インシデント」としてカウントしない。
        チェックサム通ってDB参照した上で何かの不整合でエラー、それが連続した場合は単なる入力ミスでは無いので、インシデントとして対応すれば良い。

    • by Anonymous Coward

      クレカのチェックなんて今もあってないようなものだよ。
      3Dセキュア導入されてるとか、セキュリティコード入力必須だとそこでフィルタされるだけで、そこ通ったら(そこ導入してないとこ使ったら)あとは利用歴を使ったAIチェック程度しかない。

  • by Anonymous Coward on 2022年05月27日 18時42分 (#4257572)

    多分ぐぐるとでてくる。カードの有効判定はそこでしてる。
    セキュリティコードは知らぬがあるんだろうなという予想はなんとなくしてたが簡単に分かるのは初耳。

    • by Anonymous Coward on 2022年05月28日 13時29分 (#4257923)

      クレジットカード番号の最後の一桁はチェックディジットで、その計算方法も各社共通で公開されている情報なんですよ。
      何十年も前から書き間違いなどをオフラインで簡易チェックするためにそうなってる。

      親コメント
  • by Anonymous Coward on 2022年05月27日 22時21分 (#4257682)

    規則性は分かっても使われてる番号かどうか、有効期限が分からないと使えないが
    https://edelwein.co.jp/1079 [edelwein.co.jp]
    こういうサイトで有効性確認すればもうやりたい放題よ

  • by Anonymous Coward on 2022年05月27日 22時34分 (#4257685)

    https://twitter.com/julianor/status/1527999419119026177 [twitter.com]

    カード番号からセキュリティコードを割り出すより
    セキュリティコードからカード番号を割り出す方がバレにくい

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...