Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クレジットカードを不正利用された話
Search
Tomohiko Morita
August 08, 2018
Technology
0
1.3k
クレジットカードを不正利用された話
総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/
Tomohiko Morita
August 08, 2018
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
800
ガンダム × ネーミング
deka_morita
0
500
ガンダム勉強会@関西アンケート集計
deka_morita
0
710
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
580
物理なポチポチ操作自動化
deka_morita
1
230
まじめな技術者のためのWEBフィルタリング回避術
deka_morita
1
610
Other Decks in Technology
See All in Technology
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
1
230
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
Java EE/Jakarta EEの現状と将来―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
160
AOAI をきっかけに 社内の Azure 管理を見直した話
recruitengineers
PRO
1
290
反実仮想機械学習とは何か
usaito
PRO
11
4.6k
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
690
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
210
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
270
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
1
180
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
0
160
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
Code Reviewing Like a Champion
maltzj
514
39k
YesSQL, Process and Tooling at Scale
rocio
164
13k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
The Cult of Friendly URLs
andyhume
74
5.7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Designing for humans not robots
tammielis
248
25k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Transcript
TOMOHIKO MORITA #sosaisec / /
背景 インターネット上のセキュリティ脅威 -クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html
不正利用のタイムライン 不正利用の履歴 どこで、どう漏れたか 事件からの教訓
タイムライン 年 月 カード情報流出? 年 月初 不正利用の発生
年 月中 カード会社から緊急電話 年 月 不正利用キャンセルや返金
None
不正請求 万円の内訳 AMAZON 件 円 AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY
など Google 件 円 GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件 円 FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫 円 PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間 件 明細 ページ
内訳 : Googleアプリの悪用? 同時期に複数の被害報告 Google Midas という謎の決済情報
1ドル×40連打 少額送金アプリや投げ銭?? https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だが ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま
内訳 : Facebookって有料だっけ? 答えは、ゲーム課金
内訳 :レンタル倉庫で足が付く! PUBLIC STORAGE 25735(NORTHLASVEG) オンラインで申し込んでも、荷物は実在。出張先の近くだ
海外旅行では気を付けよう
スキミング被害? NO! もっと簡単
そもそも、決済に必要な要素って? クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認 多くのネットショッピングにおいて 必要なのは、たったこれだけ
攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却する ネット決済に 必要な情報 後日、不正利用
対策? 物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する
まとめ 教訓 : ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる!怪しげなお店では現金がBetter
教訓 : 大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応
参考 攻撃事例 : 分散型推測攻撃 総当たり攻撃対策、決済に 10~20回失敗するとそれ以 降STOP 多数のECサイトを使えば、ほ ぼ無制限に試行可能 クレジットカード番号と有効期
限が分かっている場合、数秒 でセキュリティコードを割り出す ことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号 〇 有効期限 〇 セキュリティコード ? セキュリティコード=XXX センター問合せ 多数のECサイト
参考 攻撃事例 : サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影 すると、どの数字を押したか は一目瞭然 盗難から身を守る方法は、 暗証番号入力時は他の キーに指を置いておく
https://gigazine.net/news/20140901-steal-atm-pin-codes/
参考 攻撃事例 : NFCの中継攻撃 10cm程度の至近距離で データ通信する無線通信で あるNFC 他人のカードのNFCを読み 取り、NFCプロキシツールを により遠隔で悪用
https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf
参考 攻撃事例 : QRコードすり替え 中国の市場で、モバイル決 済のためのQRコードが何者 かに貼り替えられる 店主ではなく泥棒の口座に 入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml
フォント http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html