パスワードを忘れた? アカウント作成
13010019 story
セキュリティ

クレジットカードのセキュリティコードを数秒で割り出せるシステム 38

ストーリー by hylom
今後クレジットカード関連の犯罪は増えそう 部門より
taraiok曰く、

Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している(IndependentSlashdotExtremeTech)。

論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。

また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。

研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by shadowfire (6584) on 2016年12月08日 11時02分 (#3126639) ホームページ

    要するに別個のサイトを使うことでアカウントロックが機能しないってわけだ。

    カード番号/セキュリティコードは全サイト共通のID/パスワードのようなもんだから
    特定のカード情報に対するアタックは
    個別のサイトではなくカード会社の方で一括してチェックしないと防ぎようが無いか。

    --
    --------------------
    /* SHADOWFIRE */
    • by Anonymous Coward

      いちいちセンター問合せをやっているのは、なんなのだ?
      ということだよね。

    • by Anonymous Coward

      ありえない複数の売上でもロックかかるのにね。チェックしてないのかな

      • by Anonymous Coward

        あり得る普通の売上げでも止まる [togetter.com]らしいというのに。

        • by Anonymous Coward

          半年くらい前、深夜に国産ソフトをメーカーのページから買おうとしたら
          支払いの段階で海外サイトに飛ばされて、支払いを拒否された上に
          ロックされた。

          その場でクレジット会社に電話して何を買おうとしているか説明したら
          すぐにロックを解除してくれたけど「その海外のサイトを以前使ったことはありますか?」
          などと聞かれた。

          # ソフトは無事買えた

    • by Anonymous Coward

      カード決済を一元管理する仕組を作って各種サイトから利用料とればウハウハ?

      • by Anonymous Coward

        カードに限りませんがPaypalですね。
        Paypalは決済周りのトラブルがあるとたいしたことない問題でも
        向こうから電話かかってくるので凄いです(まぁ生命線ですし)。

        #あやしいサイトでもPaypal対応ってだけで安心感があります(支払い全額保護されるので)。

  • by NOBAX (21937) on 2016年12月08日 8時19分 (#3126550)
    WEBサービスのIDとパスワードで支払い確定するサイトの方が多いのでは。
    • by Anonymous Coward

      だったら多い少ないじゃなくて、そうでないサイトを使うだけじゃないですか?

    • by Anonymous Coward

      全然多くない。
      そもそも何かあったとき、責任をユーザーに押し付けるだけのものだし。

    • by Anonymous Coward

      クラッカーの直接の目的は、特定のサイトを利用することではなく、セキュリティコードを突き止めることでしょう。
      「WEBサービスのIDとパスワードで支払い確定するサイト」が多かろうが少なかろうが、そうでないサイトが十分にあればクラッカーの目的は達せられるわけで。

      さらに言えば、アカウント作成やクレジットカード登録が自動化可能なら、「WEBサービスのIDとパスワードで支払い確定するサイト」だってクラッカーの利用対象となりうるのでは?

    • by Anonymous Coward

      最近何でもかんでも勝手に意図せずにカード番号を記録、保存するよ!ってサイト増えましたね。
      保存したつもりはないのに気がつくと登録されていたのはMoraとかそうですね

      こじんまりしたECサイトとか使いませんし大手しか使いませんが
      代行業者側で会員情報と紐付けて保存している場所もあるのでそれでいいのかとは思いますが・・・。
      セキュリティコードじゃないからいいんでしょうけどもやっとしますよね
      実売りをあげるための決済に紐付けならイイデスが、会員に紐付けは違和感が。

      • by Anonymous Coward

        カード情報を保存するECサイトにも二種類あって、生番号を保存するサイト
        アクワイアラから払い出されるユニークな情報を保存し以降の決済はその情報で保存するサイト
        後者の方が流出した際に影響度が少ないので普及して欲しいのですがあまり一般的でないようで・・・

  • by nemui4 (20313) on 2016年12月08日 8時35分 (#3126553) 日記

    クレジットカード番号を推測して
    有効期限は総当り?
    セキュリティコード割り出して

    それが揃えば決済できるんだっけ?
    契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
    数多在るWebサイトにトライ&エラーを仕掛け続けてヒットしたらザックザクってことすかね。

    研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

    • Re:クレカ決済 (スコア:1, 参考になる)

      by Anonymous Coward on 2016年12月08日 9時36分 (#3126581)

      > 契約者名は既にわかっているのか、そこまで判明したリストと名前候補のリストあわせて
      契約者名のチェックをやっていない場合も多いことも問題の1つです。

      親コメント
    • by Anonymous Coward

      だからApplePayみたいにそれらの情報を誰にも渡さずに決済できる安全なクレジット決済が求められてるんだよなぁ。
      まぁApplePayに対応したオンラインショップはほとんどないし、今後対応が加速しそうな雰囲気もないけど。
      AndroidPayも同様の機能はつく(ついてる?)だろうし、スタンダードになるといいんだけどな。

      というか、3Dセキュアみたいに、一度ショップ側にクレジットカード情報を渡してリダイレクトして処理する、っていうのは大きな穴だ。
      そもそもクレジットカード情報を全く渡さずに、Paypalと同じことをクレジット会社がやればいいだけの話なのに。

      • by Anonymous Coward

        安全は大事だけど、利便性とコストも考えないとね
        決済なんてしょせんカネで片がつく話なんだから、
        ザルシステムと保険で処理するのは、少なくとも
        今までのところは、悪くない選択肢だったんだろう

      • by Anonymous Coward

        >そもそもクレジットカード情報を全く渡さずに、Paypalと同じことをクレジット会社がやればいいだけの話なのに。
        やってる所もあるのですが、画面遷移型になりUIが変わることで処理に時間がかかったり離脱率が上がったりと評判悪いようです

      • by Anonymous Coward

        あとはクレジットカードとして使えるプリペイドカードだな。手数料無料のもある。
        ECサイトだと使えないことが多いのは問題。

  • by Anonymous Coward on 2016年12月08日 9時39分 (#3126584)
    セキュリティコード って、ほとんどのカードで 3桁の数字
    CID 使ってる AMEXでも 4桁の数字。
    カード番号と有効期限までわかってるケースなら、残りの3桁か4桁の数字なんて、素人でも総当たりで調査出来るレベルの規模だとわかる話

    いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
    • by Anonymous Coward on 2016年12月08日 11時29分 (#3126650)

      いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。

      1)どこからかクレジット番号と有効期限を入手
      2)BOTを使って適当な通販サイトでアカウントを作成、クレジット情報を登録
      3)その際にセキュリティコードは辞書攻撃で当たっていく
      4)2~3の手順を複数回行うことで「正しい」セキュリティコードを入手
      5)本命のサイトでセキュリティコードを不正利用し買い物をする

      という流れでしょう。ユーザーIDやパスワード認証は関係ない。

      VISAに関して言うなら、VISA認証サービス [visa.co.jp]という、VISA側が一元的に提供しているパスワード認証(IDはクレジット番号に相当するが、決済時に店舗側から送信されるので入力する必要はない)があるので、辞書攻撃等を行った場合は検知できる。
      ・・・逆に言えばVISA認証サービスを使っていないオンラインサイトがある限り上記のような問題は発生するので、そういうオンラインサイトはとっとと淘汰されてしまえ、と思うけどね。

      親コメント
      • by Anonymous Coward
        追加でって言うのだからユーザーとパスワードは、カード決済のアカウントでしょ。
        通販サイトのアカウントじゃない。

        VISA 認証は簡易なものだけど、他のカード会社の認証だとクレジットカードとは別に ID とパスワード必須ですよ。
        当然ですけど、カード番号(がわかる情報)は店舗から送信されても、パスワードやIDは送信されたりしません。
      • by Anonymous Coward

        > VISA認証サービス
         
        あの画面ってめっちゃしょぼいですよね。レガシー感あるというか。
        もうちょっとなんとかならんのか。

      • by Anonymous Coward

        JCBにもJ/Secure http://www.jcb.co.jp/service/safe-secure/activity/jsecure/ [jcb.co.jp] ってのがありますが、ここに飛ばされる決済サイトは多くない印象・・・

  • by Anonymous Coward on 2016年12月08日 9時50分 (#3126592)

    クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

    整数3桁なら1000個なわけで
    クレジットカード番号と有効期限分かってれば
    数秒もかからんしょ
    複数サイトで試すからかな?

    • by Anonymous Coward

      > 多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなる

      • by Anonymous Coward

        > 数千のサイトを使ってクレジットカード番号を推測

        するから時間がかかるのでしょう。

        • by Anonymous Coward

          1000回試行すればコードわかるのに、なんで数千ものサイトを使うのか?

      • by Anonymous Coward

        並列試行でいいよね

    • by Anonymous Coward

      999までは試したのですが

  • by Anonymous Coward on 2016年12月08日 13時41分 (#3126717)

    こんなに詳しく発表したら中学生でも真似できちゃうよ
    せめて対策できてから表に出すべき情報でしょ

    • by Anonymous Coward

      それでいつになったら公表できるのでしょうか。
      似たような脆弱性として領収書にはカード番号の一部四桁を記載するのが一般的ですが業者ごとにどの四桁を記載するのかが違うため複数枚の領収書をゴミ箱から集めるとクレジットカードの番号になるというものが一時期話題になりましたがこちらは修正されたのでしょうか。

    • by Anonymous Coward

      問題になって騒がれでもしないと、いつまで待っても対策されない類のものだって読んでも理解できなかったの?

      中学生なら仕方ないか

  • by Anonymous Coward on 2016年12月08日 14時08分 (#3126739)

    クレカの異常行動ってわりと精度良く(過多気味)検知していると思ってたんだけど。。。
    ヨドバシでそこそこ高額商品(換金率が高い)を連続で買うと、オーソリエラーになったりしない?
    数秒の間に複数加盟店からの決済リクエストって本当に弾かれないの?

    • by Anonymous Coward

      > 本当に弾かれないの?
      VISAでは弾かれなかったという論文ですから捏造等を疑わないならそうなんでしょう。もっとも既にVISA側で対策済みになっている可能性はありますね。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...