パスワードを忘れた? アカウント作成
13767987 story
お金

ICチップ搭載クレカでも不正利用は止められない 20

ストーリー by hylom
末端の準備が整わないというよくある話 部門より
あるAnonymous Coward曰く、

米国では2015年からEMV規格のICチップ搭載のクレジットカードが提供され、クレジットカードの不正利用は終わるものと考えられていた。しかし、実際にはそうはならなかったようだ。

調査会社Gemini Advisoryによれば、この1年間で4580万件のクレジットカード情報が傍受やPOSを狙った攻撃によって盗まれており、盗まれたカード情報の90%(4160万件)はEMVチップを搭載したものだったそうだ。

EMV規格では、カード上のICチップと販売者のPOS端末との通信が暗号化されるため、本来であればこういった情報漏洩は減るはずだが、多くの加盟店がシステムを適切に構成できていないという問題があるという。そのため、スキミングでカード情報を盗んだり、専用ネットワークを攻撃するといった攻撃が可能になっているという。

レポートによると、大手企業はEMVシステムの実装を強化し始めたという。一方で中小企業は対策が遅れることが多く、犯罪者は今後、中小企業をターゲットにしていくことだろうとしている(FORTUNESlashdot)。

  • by Anonymous Coward on 2018年11月14日 14時36分 (#3515282)

    クレカ内蔵マイコンと、クレカ会社のサーバ間で、チャレンジレスポンス認証・DH鍵交換・暗号化通信を使い、
    たとえPOSシステムや店舗サーバが不正利用されても、カードが不正利用できないようにしないと

    ここに返信
    • by Anonymous Coward

      むしろチップ載せててそういうのやっていないのがおかしいよね。それに加えてこんなのが必要かな。

      ・クレカ番号をカードに記載しない(目視で確認できないようにする)
      ・ネットショップではクレカ情報を保存しない(決済はユーザーとクレカ会社が直接通信する)

  • by Anonymous Coward on 2018年11月14日 18時55分 (#3515446)

    本来ICカードの決済は「Chip & PIN(ICカード決済に暗証番号)」なのになぜかアメリカでは「chip & Signature(ICカード決済でもサイン利用)」を認めちゃっているんですが、それってICチップの暗号化機能を骨抜きにしちゃったのではないかと。

    ここに返信
  • by Anonymous Coward on 2018年11月14日 14時33分 (#3515280)

    これ、もっと根本的な、盗まれた情報を使って不正決済できちゃうって言うセキュリティホールが開いたまんまなので意味ないと思う。
    他の電子マネーだと普通、POS端末との間の情報が仮に傍受されても、他でその情報を使って不正決済なんてできないよね?

    さらに、決済に必要な最低限の情報を盗むだけならスマホのカメラでちょっちょっと盗撮すればカジュアルに盗れちゃうわけで。

    クレジットカード便利だけど、もうシステム的に継ぎ接ぎになっていて限界じゃね?
    そろそろご退場願って、次の世代の決済システムにしてった方がいいと思う。

    ここに返信
    • by Anonymous Coward

      不正決済対策よりも,不正決済を保険でカバーした方がメリット高いって判断でしょ.
      「完璧」な決済手段でも,その構築に費用がかかるなら,利用者も加盟店もついてこない.

      日本の鉄道事業者は数百円の不正も許容せずに多額の投資しているに対して,ドイツの鉄道が不正利用者を抜き打ちで検査することでコストをかけずに対策を行っているようなデザインの違い.

      • > ドイツの鉄道が不正利用者を抜き打ちで検査することで
        なお、あまりに不正乗車が多いため、毎日のように抜き打ちされる模様。
        さらに、不届き者もなれたもので、チェックを見かけると一目散に次の駅で降りて逃げる模様。
        チェックやってらんないようなフランクフルト市内のトラムだと、もはやちゃんと金払ってる人どれだけいるんだろ、というレベルの模様。

    • by Anonymous Coward

      社会に食い込みすぎてるから難しいんでしょうね、端末の更新も大変だし
      高額決済の場合は暗証番号の代わりに2段階認証の番号入れればいいんじゃないかな?店舗の機材を改修する必要ないし

      スマホごと盗まれそうではあるけど

      • by Anonymous Coward

        駄目なのが分かっているが、社会に食い込みすぎて排除出来ない古い規格

        こういうのはだんだん使えなくするようにフェードアウトさせるのが一番だと思う。
        Adobe Flashとか、Javaアプレットのように。

      • by Anonymous Coward

        すでにクレジットカードはICチップ対応端末が義務化されているんですけどね

        店舗決済端末のICクレジット対応、義務付けも目立つ遅れ
        https://tech.nikkeibp.co.jp/it/atcl/column/14/346926/121101240/ [nikkeibp.co.jp]

    • by Anonymous Coward

      不正利用されても損失を加盟店におっかぶせるだけだから、カード会社的には金かけてセキュリティを強化するインセンティブはないのでは?

  • by Anonymous Coward on 2018年11月14日 14時45分 (#3515286)

    クレジットカードは基本的にカード番号だけがあれば決済できる時代遅れ仕様。
    そこにセキュリティコードだ、ICチップだ、後付けでセキュリティを高めようとしているけど、根本的な部分は同じ。レジにカメラ設置して裏表撮影しちゃうだけでも決済に十分な情報を盗れる。こんなシステムで不正利用を防げるわけがない。

    > この1年間で4580万件のクレジットカード情報が傍受やPOSを狙った攻撃によって盗まれており
    ネット経由の漏洩だと2018年上半期だけで3億5900万件 [atmarkit.co.jp](ただし金融情報漏えい事例数で、クレカを含まない漏洩件数も含む)。

    ここに返信
    • by Anonymous Coward

      たいていのクレジットカードはワンタイムパスワードに対応していて、問題は物理レジの決済だけじゃない?
      クレジットカードを物理トークン(ワンタイムパスワード表示デバイス)にするという技術も以前発表されていたし、
      「クレジットカード」が時代遅れ仕様というのは間違っているかと。

      • by Anonymous Coward

        例外を挙げて一般論を語るんじゃねえよ、というのはとりあえずおいとくとしても、その「物理トークン」やら「ワンタイムパスワード」やらが導入された結果、カード番号だけがあれば決済できる仕様は是正されたんですかね?

        • by Anonymous Coward

          プリミティブなパス(電気つかわない)を残しておかないと、大規模停電とかに困りますが
          家に帰る運賃とか当座の食料とかくらいの小穴でいいんだけどね
          逆に小穴の方は手動じゃないと使えないということで良いかもしれない

        • by Anonymous Coward

          そりゃすべての店が最新技術についていけるわけないし、機械の入れ替えもコストかかるし
          「トークン始めたんで、未対応の店は契約終了ね」
          が通るわけないだろ。
          何事も、新しいものと古いものが共存する期間がある。そんなすぐに切り捨てられたら苦労せんわ。

          現実見て語ってないのはキミも一緒だよ。

          今後はApplePayなど非接触が主流になりそもそも店側にクレカ番号が渡らない仕様だから
          いずれ解決すると思うけどね。早く普及してほしいけど、変化はすぐには起きない。

          磁気リーダー廃止もまだ時間かかりそうだしなぁ・・・

          • by Anonymous Coward

            じゃあその「共存する期間」はいつになったら終わるんですか。EMV仕様が登場してから既に20年以上経ってるんだけど。
            これまさに「クレジットカード」が時代遅れ仕様」というそのものじゃないか。

            現実見て「「クレジットカード」が時代遅れ仕様というのは間違っている」というのが間違いだって言ってんでしょ。どの辺りが現実みてないってのさ。普及してもいない特殊な例外で一般論に反論する奴よりはどうみても現実みてるだろ。
            この他にも、単なる

          • by Anonymous Coward

            磁気リーダー廃止もまだ時間かかりそうだしなぁ・・・

            カード読み取り機の故障に備えてインプリンタ用意しているところもあるぐらいだから・・・

        • by Anonymous Coward

          ワンタイムパスワードが導入された結果ということであれば、「カード番号だけがあれば決済できる仕様」は是正されたよ。
          きちんとオーソリエラーになる。非対応サイトなんかでもオーソリエラーになるけど。
          物理トークンについては昨年発表されていた技術だから導入はまだだね。

          例外を挙げてというけど、少なくとも日本においては例外というほど対応していないわけではない。
          あくまで利便性やコストの問題からあまり運用されていないだけで。
          元コメは仕様の問題として挙げてるからね。

          • by Anonymous Coward

            クレカ決済が現金に比べて「例外」ってレベルなのに、「例外というほど対応していないわけではない。」ってどこの世界の話?

            そして、この「利便性やコストの問題からあまり運用されていない」という「例外と言うほど対応していないわけではない」技術があることで、過去の「「クレジットカード」が時代遅れ仕様」は是正されたんですかね。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...