クレジットカードの決済情報はわずか6秒で推測可能であるという研究結果

By Roxanne Tamayo

クレジットカードを使ったオンライン決済に必要な情報をわずか6秒で推測できる手法について、ニューカッスル大学がVISAとMasterCardを調査した研究結果を公開しています。

Ali MA, Arief B, Emms M, van Moorsel A. Does The Online Card Payment Landscape Unwittingly Facilitate Fraud? IEEE Security & Privacy 2017. In Press.
(PDFファイル)http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf

Thieves can guess your secret Visa card details in just seconds | Ars Technica
http://arstechnica.com/security/2016/12/thieves-can-guess-your-secret-visa-card-details-in-just-seconds/

クレジットカード決済を狙う常習犯は、ブラウザボットを使った手口で、数百個以上のインターネットショッピングサイトから顧客の決済情報を攻撃しているとのこと。ニューカッスル大学の調査によると、アタッカーがクレジットカード決済に必要な情報を推測する方法はいくつか存在しますが、いずれも16桁のクレジットカード番号を入手するところから始まります。アタッカーはクレジットカード番号を1つ1ドル(約110円)以下でブラックマーケットから購入できるほか、スマートフォンに装着したNFCリーダーを使って16桁の番号をかすめ取る方法もあり、Luhnアルゴリズムに基づいた最初の6桁の数字から、カードブランド・発行銀行・カードの種類を組み合わせても16桁の数字を推測できるとのこと。

アタッカーは16桁のクレジットカード番号から、わずか4秒で「カード有効期限」と「3桁のセキュリティコード(CVV)」を推測することが可能。これらの情報と16桁のカード番号があれば、ほとんどのオンラインショッピングサイトで決済が可能になってしまいます。サイトによっては請求先住所の入力を求めるよりセキュアなところもありますが、同様の手口ではわずか6秒で正確な請求先住所まで推測できるとのことです。

以下は推測攻撃に実際に使われているというソフトのスクリーンショット。

これには約400カ所のeコマースサイトを通じて、無作為にブラウザボットが16桁のカード番号を割り出していくという技術が使われており、このうち26のサイトではカード決済の確認項目が2つしかなかった一方で、291のサイトでは確認項目が3つだったとのこと。サイトによって確認する項目が異なるため、ボットは複数のeコマースサイトから複合的に顧客の情報を得ることで、正確な決済情報を推測できるという仕組みです。

By frankieleon

ニューカッスル大学の研究者は「ウェブサイトによって異なるセキュリティ対策によって、決済システム全体で実質的に悪用可能な脆弱性が露見しつつあります」と説明しています。今回指摘されている手口では、あるウェブサイトがセキュリティ強化のためより多くの確認項目を導入することが、別のウェブサイトの確認項目の推測材料を与えることになり、潜在的かつ無意識に決済システム全体を弱体化させることにつながります。

ニューカッスル大学の研究チームによると、クレジット決済システムの最大手であるVISAは、このような「大量推測攻撃」に対する検知システムを使用していないとのこと。その一方で、ライバルとなるMasterCardは大量推測攻撃が成功する前に攻撃をシャットダウンできるシステムを運用しているそうです。研究チームは最も多くの大量推測攻撃にさらされている40のウェブサイトに連絡をとり、いくつかのウェブサイトは確認項目を見直したとのこと。少なくともクレジット決済システムの脆弱性が少しは改善されたわけですが、この件を報じたニュースメディア・Ars Technicaは、「より良い解決策は、MasterCardと同じ検知システムをVISAが導入することでしょう」と指摘しています。