パスワードを忘れた? アカウント作成
13794976 story
お金

流出したクレジットカード番号がPayPay経由で使われる懸念 145

ストーリー by hylom
さすがに10回失敗してロック無しはちょっと 部門より

「20%還元キャンペーン」が話題になったキャッシュレス決済サービスPayPayだが、第三者が不正に入手した他人のクレジットカード番号をPayPayに紐付けて不正利用するという被害が出ているという(情報科学屋さんを目指す人のメモITmedia)。

PayPayアプリでのクレジットカードの登録時にはカード番号および有効期限、セキュリティコードの登録が必要となるが、セキュリティコードを間違えてもロックなどの対応が行われないため、総当たり的な攻撃で不正に登録ができてしまう可能性があるとの指摘がある。あるAnonymous Coward曰く、

セキュリティコードを何度間違えてもロックがかからないということは、カード番号も自動生成で総当たりできるということ。例えばvisaならば前6桁は発行元により固定で、生成するカード番号は残り9桁となる(残り1桁はチェックディジット。ロック機構が無ければこれも無意味)。つまり9×60(有効期限5年×12)×999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。

PCや今のスマホでも一日あれば突破できてしまうが、これからどうなるのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年12月17日 17時31分 (#3534852)

    不正利用がポイントなのに
    「漏洩の事実はない、家族とかを疑え」って声明だけで
    やっと
    「現時点でリトライ上限がないのは事実ですが、本日以降速やかに対処する予定です」
    な状態
    自社起因の非はほんと認めないね
    Yahooニュースにもこのトラブルについては全く載ってないし

  • その先のカード会社のサーバで確認するんでしょ
    そっちもぶっ通しなのかな?
    セキュリティが売り物のカード会社にしてはザルい気がするな

    • 自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。

      親コメント
      • 自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。

        クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?
        裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。

        # 3Dセキュア必須にするとかはできるけど

        親コメント
    • by Anonymous Coward

      auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな
      決済かけてないから失敗してもカード会社側は特に検知しないと思う
      新規登録でユーザ増えていってるかな?になるだけなんで

      で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん

      • by Anonymous Coward

        その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。

        • by Anonymous Coward

          業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。
          なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。

          わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。
          だから、普通は多数で共有してるものをブロックはしないはず。

          今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。

          • その例でいうならカード番号ごとに試行失敗をカウントすりゃいいじゃん
            携帯回線でいえばIPアドレスではなくて電話番号で絞ればよいって話

            仮に番号を変えながらやったとしても、
            トータルで失敗率が上がってきたら対策するとかいろいろ考えられるのでは?

            いずれにせよ例に過ぎないので実際には対応が簡単ではないとしても、
            実際に破られることが纏めて発生しちゃうんなら
            信用を売り買いしてるカード会社にしちゃーへぼいんじゃないかなぁ

            今回の件で言うとカード会社ごとの率とかどうなんかね

            親コメント
  • 逆に,PayPayに登録できなかったら,そのカードは悪用されている可能性が高い。
    うわーあくどいマッチポンプの香り(棒
    セキュリティコードの扱いがザルすぎるのがなんとも
  • https://tech.nikkeibp.co.jp/it/atcl/idg/14/481709/120600279/ [nikkeibp.co.jp]
    星の数ほどカード情報を入力するサイトはあるのだから、あるサイトでロックしても、別のサイトで試行する、というのを繰り返せば、セキュリティコードの桁数はたかが知れているから推定できる。
    と考えると、PayPay 側がロックしない事が問題なのではなくて、カード会社側が、同一カード番号に対する NG 回数とかでロックしない事が問題な気がしてくる。
    • そういう不正利用を防ぐために3Dセキュアとかあるわけなんだから
      3Dセキュアに対応してないサイトでは、3Dセキュア有効にしたカードは使えないようにしてほしいけど…

      親コメント
      • by Anonymous Coward

        その辺はECサイトによりけり
        チャージバックを自社で受け持つなら3D対応しているが未登録カードでも決済可
        チャージバックを保険会社なんかで受け持って貰う場合には3DS登録済みじゃないと決済できないとか
        考え方次第

        • その場合、ユーザーが「気づくことが出来れば」普通に取り消されるんだけど
          気づけなかった場合普通に通っちゃいますよね

          それを防止しようとしたら、ユーザ側で3Dセキュアとかを有効にしているわけなんだから
          有効じゃないところでは買い物しないよってフラグを建てさせてほしいっていう事
          そうすれば、3Dセキュアが突破されたら不正利用はされるけど
          カード情報が判明しただけでは不正利用されることはなくなるのではないかと

          親コメント
  • わけて考えよう (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2018年12月17日 17時49分 (#3534870)

    「PayPayより酷いサイトなんて珍しくない」ってのと「PayPayに非はない」は別問題ですよ

    • by Anonymous Coward

      今回は、「クレジットカードの推測、不正利用ができるプラットフォームを提供してしまった」っていう不祥事になるね

  • クレカ番号自体はPayPayのせいで流出した毛ではなくて、もっと前に流出してたものだろう。

    で、なぜPayPayが標的にされたかというと、例の100億キャンペーンでなんか異常な金の使い方をする人が突然大量に沸いたので、それに紛れて使ったらカード会社のチェックが追い付かなくなるだろう、ということで便乗されて使われていた可能性が高い。

    100億円キャンペーンが終了してしまったので、犯人集団はもうとんずらこいた後でしょうな。コンビニとか家電量販店でiTunesカードとかAmazonギフトカードでも買ってたんじゃないですかね。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • by Anonymous Coward

      クレカ番号はある程度使われてるであろう番号を簡単に生成できるソフトが既にある
      つまりクレカ番号を生成してあとは書いてある通り

    • by Anonymous Coward

      カード番号が流出していたとしても
      PayPayのおかげでセキュリティコードと有効期限を特定することができたのでは? 

      当たり前の話だが、その情報はPayPay以外でも使うことができますよね

    • by Anonymous Coward

      また毛の話してる(AA略)

    • by Anonymous Coward

      一応真面目な話をすると、PayPayでiTunesカードやAmazonギフトカードは買えません。

  • by Anonymous Coward on 2018年12月17日 17時49分 (#3534871)
  • by albireo (7374) on 2018年12月17日 17時49分 (#3534872) 日記

    PCや今のスマホでも一日あれば突破できてしまうが

    暗号解読のようなものならオフラインで高速に試行を繰り返せるけど、カード番号の総当たりはサーバからのレスポンスを待つ必要がある。
    チェックディジット間違いを繰り返してもロックしないくらいだから同一IPから短時間に繰り返しアクセスもロックしないと仮定して24時間で53万回トライすると秒間約6回の間隔。不可能とはいえないけどちょっと厳しそう。
    ただしこれは53万通りのうち有効な番号の組み合わせがひとつしかない場合。

    現実にはそんなことありえなくて、カード発行元によっては万単位の「あたり」が存在すると思われるので、数百回か悪くても数千回のチャレンジで十分成功が見込めそう。

    --
    うじゃうじゃ
    • by Anonymous Coward

      カード決済ネットワークに流すのに端末から投げるわけない
      普通にPayPayサーバから投げられるから分からん

      で、セキュリティコードも暗号の一種
      カード番号とカード会社のパラメータを使って算出しているだけ

      • by albireo (7374) on 2018年12月17日 20時26分 (#3535011) 日記

        セキュリティコードの算出が目的ならそういう理屈も成り立ちますが、セキュリティコードやチェックディジットに矛盾はなくても空き(未使用)の番号や未払いなどで停止された番号、すでにPayPayに登録済みの番号はサーバに投げてみないことには確認のしようがないですよ。

        --
        うじゃうじゃ
        親コメント
  • by Ooty (29466) on 2018年12月18日 9時50分 (#3535280) 日記
    > 9×60(有効期限5年×12)×999の約53万回

    総当たり攻撃の必要回数って、カード発行元に割り当てられた、9桁の数字(10億)のうち、実際に有効なカードの枚数がわからないと計算できないのではないでしょうか?

    はじめの "9" というのが、その値だとすると、発行枚数が多いところでは、1億枚程度有効なカードがあるということでしょうか?
  • 残り1桁はチェックディジット。ロック機構が無ければこれも無意味

    チェックディジットを含めても530万回の試行

    hylom、チェックディジットの意味わかってる?

    • 間違えてる人も結構いると思うよ
      この計算方法を書こうとした人が攻められてるのをみたことがある。不正に加担するのかって

      カード番号の不正をチェックするものでなく、単純な入力ミスや読み取りミスなど
      チェックするもので、計算方法など怪しいサイトでなくても手に入る。

      親コメント
    • by Anonymous Coward

      チェックディジットは正しいものを計算で求められるけど、
      計算式がわからなくても10倍の回数試行すれば1カード番号につき0-9の10回試行すれば当たっちゃうわけでね。

      あってるよ。

  • by Anonymous Coward on 2018年12月17日 18時27分 (#3534907)

    どっかの決済サービスのAPI使ってそうなんだけどどこだろ
    糞構築ならこんなザル決済サイトもできてしまうんだなー
    こんな構築できない仕組みになってるんだと思ってた

  • by Anonymous Coward on 2018年12月17日 18時53分 (#3534934)

    カード会社側への照会の話。
    カード会社側は名前無しにチェックしてるんですね。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...