クレジットカードのセキュリティコードを数秒で割り出せるシステム 38
ストーリー by hylom
今後クレジットカード関連の犯罪は増えそう 部門より
今後クレジットカード関連の犯罪は増えそう 部門より
taraiok曰く、
Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している(Independent、Slashdot、ExtremeTech)。
論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。
また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。
研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。
研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。
アカウントロックが無い (スコア:4, すばらしい洞察)
要するに別個のサイトを使うことでアカウントロックが機能しないってわけだ。
カード番号/セキュリティコードは全サイト共通のID/パスワードのようなもんだから
特定のカード情報に対するアタックは
個別のサイトではなくカード会社の方で一括してチェックしないと防ぎようが無いか。
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
いちいちセンター問合せをやっているのは、なんなのだ?
ということだよね。
Re: (スコア:0)
ありえない複数の売上でもロックかかるのにね。チェックしてないのかな
Re: (スコア:0)
あり得る普通の売上げでも止まる [togetter.com]らしいというのに。
Re: (スコア:0)
半年くらい前、深夜に国産ソフトをメーカーのページから買おうとしたら
支払いの段階で海外サイトに飛ばされて、支払いを拒否された上に
ロックされた。
その場でクレジット会社に電話して何を買おうとしているか説明したら
すぐにロックを解除してくれたけど「その海外のサイトを以前使ったことはありますか?」
などと聞かれた。
# ソフトは無事買えた
Re: (スコア:0)
カード決済を一元管理する仕組を作って各種サイトから利用料とればウハウハ?
Re: (スコア:0)
カードに限りませんがPaypalですね。
Paypalは決済周りのトラブルがあるとたいしたことない問題でも
向こうから電話かかってくるので凄いです(まぁ生命線ですし)。
#あやしいサイトでもPaypal対応ってだけで安心感があります(支払い全額保護されるので)。
最近は (スコア:1)
Re: (スコア:0)
だったら多い少ないじゃなくて、そうでないサイトを使うだけじゃないですか?
Re: (スコア:0)
全然多くない。
そもそも何かあったとき、責任をユーザーに押し付けるだけのものだし。
Re: (スコア:0)
クラッカーの直接の目的は、特定のサイトを利用することではなく、セキュリティコードを突き止めることでしょう。
「WEBサービスのIDとパスワードで支払い確定するサイト」が多かろうが少なかろうが、そうでないサイトが十分にあればクラッカーの目的は達せられるわけで。
さらに言えば、アカウント作成やクレジットカード登録が自動化可能なら、「WEBサービスのIDとパスワードで支払い確定するサイト」だってクラッカーの利用対象となりうるのでは?
Re: (スコア:0)
最近何でもかんでも勝手に意図せずにカード番号を記録、保存するよ!ってサイト増えましたね。
保存したつもりはないのに気がつくと登録されていたのはMoraとかそうですね
こじんまりしたECサイトとか使いませんし大手しか使いませんが
代行業者側で会員情報と紐付けて保存している場所もあるのでそれでいいのかとは思いますが・・・。
セキュリティコードじゃないからいいんでしょうけどもやっとしますよね
実売りをあげるための決済に紐付けならイイデスが、会員に紐付けは違和感が。
Re: (スコア:0)
カード情報を保存するECサイトにも二種類あって、生番号を保存するサイト
アクワイアラから払い出されるユニークな情報を保存し以降の決済はその情報で保存するサイト
後者の方が流出した際に影響度が少ないので普及して欲しいのですがあまり一般的でないようで・・・
クレカ決済 (スコア:0)
クレジットカード番号を推測して
有効期限は総当り?
セキュリティコード割り出して
それが揃えば決済できるんだっけ?
契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
数多在るWebサイトにトライ&エラーを仕掛け続けてヒットしたらザックザクってことすかね。
Re:クレカ決済 (スコア:1, 参考になる)
> 契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
契約者名のチェックをやっていない場合も多いことも問題の1つです。
Re: (スコア:0)
だからApplePayみたいにそれらの情報を誰にも渡さずに決済できる安全なクレジット決済が求められてるんだよなぁ。
まぁApplePayに対応したオンラインショップはほとんどないし、今後対応が加速しそうな雰囲気もないけど。
AndroidPayも同様の機能はつく(ついてる?)だろうし、スタンダードになるといいんだけどな。
というか、3Dセキュアみたいに、一度ショップ側にクレジットカード情報を渡してリダイレクトして処理する、っていうのは大きな穴だ。
そもそもクレジットカード情報を全く渡さずに、Paypalと同じことをクレジット会社がやればいいだけの話なのに。
Re: (スコア:0)
安全は大事だけど、利便性とコストも考えないとね
決済なんてしょせんカネで片がつく話なんだから、
ザルシステムと保険で処理するのは、少なくとも
今までのところは、悪くない選択肢だったんだろう
Re: (スコア:0)
>そもそもクレジットカード情報を全く渡さずに、Paypalと同じことをクレジット会社がやればいいだけの話なのに。
やってる所もあるのですが、画面遷移型になりUIが変わることで処理に時間がかかったり離脱率が上がったりと評判悪いようです
Re: (スコア:0)
あとはクレジットカードとして使えるプリペイドカードだな。手数料無料のもある。
ECサイトだと使えないことが多いのは問題。
CVV/CVC2は (スコア:0)
CID 使ってる AMEXでも 4桁の数字。
カード番号と有効期限までわかってるケースなら、残りの3桁か4桁の数字なんて、素人でも総当たりで調査出来るレベルの規模だとわかる話
いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
Re:CVV/CVC2は (スコア:1)
1)どこからかクレジット番号と有効期限を入手
2)BOTを使って適当な通販サイトでアカウントを作成、クレジット情報を登録
3)その際にセキュリティコードは辞書攻撃で当たっていく
4)2~3の手順を複数回行うことで「正しい」セキュリティコードを入手
5)本命のサイトでセキュリティコードを不正利用し買い物をする
という流れでしょう。ユーザーIDやパスワード認証は関係ない。
VISAに関して言うなら、VISA認証サービス [visa.co.jp]という、VISA側が一元的に提供しているパスワード認証(IDはクレジット番号に相当するが、決済時に店舗側から送信されるので入力する必要はない)があるので、辞書攻撃等を行った場合は検知できる。
・・・逆に言えばVISA認証サービスを使っていないオンラインサイトがある限り上記のような問題は発生するので、そういうオンラインサイトはとっとと淘汰されてしまえ、と思うけどね。
Re: (スコア:0)
通販サイトのアカウントじゃない。
VISA 認証は簡易なものだけど、他のカード会社の認証だとクレジットカードとは別に ID とパスワード必須ですよ。
当然ですけど、カード番号(がわかる情報)は店舗から送信されても、パスワードやIDは送信されたりしません。
Re: (スコア:0)
> VISA認証サービス
あの画面ってめっちゃしょぼいですよね。レガシー感あるというか。
もうちょっとなんとかならんのか。
Re: (スコア:0)
JCBにもJ/Secure http://www.jcb.co.jp/service/safe-secure/activity/jsecure/ [jcb.co.jp] ってのがありますが、ここに飛ばされる決済サイトは多くない印象・・・
セキュリティコードの桁数 (スコア:0)
クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。
整数3桁なら1000個なわけで
クレジットカード番号と有効期限分かってれば
数秒もかからんしょ
複数サイトで試すからかな?
Re: (スコア:0)
> 多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなる
Re: (スコア:0)
> 数千のサイトを使ってクレジットカード番号を推測
するから時間がかかるのでしょう。
Re: (スコア:0)
1000回試行すればコードわかるのに、なんで数千ものサイトを使うのか?
Re: (スコア:0)
並列試行でいいよね
Re: (スコア:0)
999までは試したのですが
Re: (スコア:0)
結局引きちぎったの?
#何を?
Re: (スコア:0)
998まででは?
Re: (スコア:0)
001から始めたのでは?
発表するなよ・・・ (スコア:0)
こんなに詳しく発表したら中学生でも真似できちゃうよ
せめて対策できてから表に出すべき情報でしょ
Re: (スコア:0)
それでいつになったら公表できるのでしょうか。
似たような脆弱性として領収書にはカード番号の一部四桁を記載するのが一般的ですが業者ごとにどの四桁を記載するのかが違うため複数枚の領収書をゴミ箱から集めるとクレジットカードの番号になるというものが一時期話題になりましたがこちらは修正されたのでしょうか。
Re: (スコア:0)
問題になって騒がれでもしないと、いつまで待っても対策されない類のものだって読んでも理解できなかったの?
中学生なら仕方ないか
異常行動 (スコア:0)
クレカの異常行動ってわりと精度良く(過多気味)検知していると思ってたんだけど。。。
ヨドバシでそこそこ高額商品(換金率が高い)を連続で買うと、オーソリエラーになったりしない?
数秒の間に複数加盟店からの決済リクエストって本当に弾かれないの?
Re: (スコア:0)
> 本当に弾かれないの?
VISAでは弾かれなかったという論文ですから捏造等を疑わないならそうなんでしょう。もっとも既にVISA側で対策済みになっている可能性はありますね。