クレジットカードを不正利用された話

TOMOHIKO MORITA #sosaisec / /

背景インターネット上のセキュリティ脅威－クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

 不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

タイムライン  年月カード情報流出？  年月初不正利用の発生 
年月中カード会社から緊急電話  年月不正利用キャンセルや返金

不正請求万円の内訳 AMAZON 件円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY
など Google 件円  GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件円  FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫円  PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間件明細ページ

内訳： Googleアプリの悪用？  同時期に複数の被害報告  Google Midas という謎の決済情報 
1ドル×40連打  少額送金アプリや投げ銭？？ https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だがミダス：触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま

内訳： Facebookって有料だっけ？  答えは、ゲーム課金

内訳：レンタル倉庫で足が付く！  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

海外旅行では気を付けよう

スキミング被害？  NO！もっと簡単

そもそも、決済に必要な要素って？ クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認多くのネットショッピングにおいて必要なのは、たったこれだけ

攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却するネット決済に必要な情報後日、不正利用

対策？物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

まとめ 教訓： ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓：内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる！怪しげなお店では現金がBetter
教訓：大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応

参考攻撃事例：分散型推測攻撃 総当たり攻撃対策、決済に 10～20回失敗するとそれ以降STOP 多数のECサイトを使えば、ほぼ無制限に試行可能 クレジットカード番号と有効期
限が分かっている場合、数秒でセキュリティコードを割り出すことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号〇有効期限〇ｾｷｭﾘﾃｨｺｰﾄﾞ？ｾｷｭﾘﾃｨｺｰﾄﾞ=XXX センター問合せ多数のECサイト

参考攻撃事例：サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影すると、どの数字を押したかは一目瞭然 盗難から身を守る方法は、暗証番号入力時は他のキーに指を置いておく
https://gigazine.net/news/20140901-steal-atm-pin-codes/

参考攻撃事例： NFCの中継攻撃 10cm程度の至近距離でデータ通信する無線通信であるNFC 他人のカードのNFCを読み取り、NFCプロキシツールをにより遠隔で悪用
https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf

参考攻撃事例： QRコードすり替え 中国の市場で、モバイル決済のためのQRコードが何者かに貼り替えられる 店主ではなく泥棒の口座に入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html

クレジットカードを不正利用された話

クレジットカードを不正利用された話

Tomohiko Morita

More Decks by Tomohiko Morita

Other Decks in Technology

Featured

Transcript

TOMOHIKO MORITA #sosaisec / /

背景インターネット上のセキュリティ脅威－クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

 不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

タイムライン  年月カード情報流出？  年月初不正利用の発生 

不正請求万円の内訳 AMAZON 件円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY

内訳： Googleアプリの悪用？  同時期に複数の被害報告  Google Midas という謎の決済情報 

内訳： Facebookって有料だっけ？  答えは、ゲーム課金

内訳：レンタル倉庫で足が付く！  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

海外旅行では気を付けよう

スキミング被害？  NO！もっと簡単

対策？物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

参考攻撃事例：分散型推測攻撃 総当たり攻撃対策、決済に 10～20回失敗するとそれ以降STOP 多数のECサイトを使えば、ほぼ無制限に試行可能 クレジットカード番号と有効期

参考攻撃事例：サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影すると、どの数字を押したかは一目瞭然 盗難から身を守る方法は、暗証番号入力時は他のキーに指を置いておく

参考攻撃事例： NFCの中継攻撃 10cm程度の至近距離でデータ通信する無線通信であるNFC 他人のカードのNFCを読み取り、NFCプロキシツールをにより遠隔で悪用

参考攻撃事例： QRコードすり替え 中国の市場で、モバイル決済のためのQRコードが何者かに貼り替えられる 店主ではなく泥棒の口座に入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html