orangeitems’s diary

クラウドで働くエンジニアの日々の感想です(ほぼ毎日更新)。

クレジットカードが危ない?!、認証の脆弱性事例が続々と

f:id:orangeitems:20181217163325j:plain

 

PayPayでクレジットカード不正利用の報道

ここ最近大きな話題となったPayPayに、クレジットカード不正利用の報道が流れています。

 

www.msn.com

QRコードを使ったキャッシュレス決済で話題の「ペイペイ」で、クレジットカードの不正利用が判明した。購入額の2割を還元するキャンペーンに合わせ、カード情報がダークウェブ(闇サイト)などで出回った可能性がある。被害者からは、セキュリティー対策の強化を求める声が上がっている。

 

dokoiku.me

自分の場合はクレジットカード会社からアラートはあがっていなかったので、大丈夫だろうと高をくくっていたのですが、念の為クレジットカード会社のウェブサイトの明細速報を確認してみると、見たこともない驚きの金額が表示されていてビックリしました。

 

PayPayアプリは、クレジットカード情報をひもづける際、クレジットカード番号
と、有効期限と、セキュリティコードだけで通ってしまいます。

仮に悪意のある第三者が、クレジットカード番号と有効期限を不正な手段で入手していたとします。そうすると、セキュリティーコードを割り出すために、何度もPayPayアプリで000から999まで入力していけるという仕様だったようです。本来は何度か失敗するとロックされるようにしなければいけないはずなのですが。

 

それ以外にも見つかった、有効期限やセキュリティーコードの脆弱性

上記のニュースについてはPayPayだけの話なのですが。実は先々週に、有効期限やセキュリティーコードはVisaのクレジットカードについて限れば、すぐに割り出せてしまうという論文が出ています。

 

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」 - CIOニュース:CIO Magazine

だが、ネット上にeコマースサイトは山ほどある。そこで、指定する情報を少しずつ変えた決済要求を多数のサイトに向けて一斉に送るという方法を使えば、不明なカード情報を割り出すことが可能だ。

(中略)

 正当なカードの有効期限をこの方法で割り出すことは、さほど面倒ではない。通常、発行されたカードの使用可能期間は長くても5年(60カ月)である。したがって、有効期限の指定内容を1カ月ずつ変えた60件の決済要求を、複数のサイトに向けて送れば、その中のいずれか1件が承認され、正しい有効期限が判明する。また、3桁のセキュリティコードを割り出すのはもう少し厄介だが、1000件の要求を複数のサイトに送れば遂行できる。

 

つまり、1つのECサイトにおいて何度も間違えたらそれはチェックのしようがあるものの、複数のECサイトで同時にユニークな番号を入力すれば、短時間で割り出せてしまうことです。

 

なお、下記の通り、MasterCardではこの問題は発生しないそうです。

一方、米MasterCardのクレジットカードは、決済ネットワークのシステムが一元化されていることから、同一のカードに関する推測を複数のサイトに分散したとしても、試行が10回足らずの段階で分散型推測攻撃を検知された。

 

ただ、PayPayアプリにおいては何度でもトライ可能とありますので、ECサイトとアプリでは事情が違いそうです。

 

ちなみに今日すぐ対応されたらしいですが、できるのならはじめからやっておけと。

 

japanese.engadget.com

対策として、これまで無制限となっていた、クレジットカード登録時における"セキュリティコードの入力ミス"に回数制限を設けるとのこと。時期は『できれば本日(12月17日)から行いたい』と述べ、早急に対応することを強調しました。

 

 

 

 

ちなみに、今話題になっているのは、小額決済ならばセキュリティーコードはスルーしてしまうというツイートです。

 

 

これからの時代、クレジットカードの明細チェックは日々重要

クレジットカードについては、そもそも番号や名義、有効期限やセキュリティーコードは表面に書かれてしまっていますので、どこで漏洩しても不思議ではないと思っています。またカード情報自体もサイバー攻撃等で漏洩する事件も相次いでいます。

かつ、PayPayやLINE Payなど、キャッシュレス行動にクレジットカードを結びつけるサービスがこれだけ拡大してくると、クレジットカードを持っているだけでいつ被害にあってもおかしくないと考える必要があります。

自身がPayPayやLINE Payを使っているかなど関係ありません。

ぜひ、今日にでも利用明細の確認を行ってみることをお勧めします(私も本日実施します)。また、定期的に確認し、不審な点ががあればすぐにカード会社へ連絡しましょう。

あまりにもクレジットカードをたくさん保有している場合は、Money LookやMoneyForwardなど横ぐしで調べてくれるサービスを使う必要があるかもしれませんね(私もこのパターンです)。