Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クレジットカードを不正利用された話

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Tomohiko Morita Tomohiko Morita
August 08, 2018
Technology
1.5k
0

 クレジットカードを不正利用された話

総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/

Avatar for Tomohiko Morita

Tomohiko Morita

August 08, 2018

More Decks by Tomohiko Morita

See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
Avatar for Tomohiko Morita deka_morita
0
330
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
Avatar for Tomohiko Morita deka_morita
0
990
ガンダム × ネーミング
Avatar for Tomohiko Morita deka_morita
0
750
ガンダム勉強会@関西アンケート集計
Avatar for Tomohiko Morita deka_morita
0
810
ガンダム勉強会@サイド2開催にあたって
Avatar for Tomohiko Morita deka_morita
0
700
物理なポチポチ操作自動化
Avatar for Tomohiko Morita deka_morita
1
300
まじめな技術者のためのWEBフィルタリング回避術
Avatar for Tomohiko Morita deka_morita
1
1.3k

Other Decks in Technology

See All in Technology
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
Avatar for butatamasoba / Shota Kusaba / 草場翔太 shota_kusaba
0
210
Agent の「自由」と「安全」〜未来に向けて今できること〜
Avatar for katayan katayan
0
360
AI時代に、 データアナリストがデータエンジニアに異動して
Avatar for jackojacko_ jackojacko_
0
760
みんなの考えた最強のデータ基盤アーキテクチャ'26前期〜前夜祭〜ルーキーズ_資料_遠藤な
Avatar for Naoya Endo endonanana
0
310
AI-Assisted Contributions and Maintainer Load - PyCon US 2026
Avatar for Paolo Melchiorre pauloxnet
1
110
How to learn AWS Well-Architected with AWS BuilderCards: Security Edition
Avatar for Kosuke ENOMOTO coosuke
PRO
0
130
100マイクロサービスのTerraform/Kubernetes管理地獄から抜け出すためのAI活用術
Avatar for Masaki Ishigaki markie1009
0
140
Forget technical debt
Avatar for Uwe Friedrichsen ufried
0
190
SLI/SLO、「完全に理解した」から「チョットデキル」へ
Avatar for maru maruloop
5
430
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
Avatar for harutiro harutiro
1
120
世界の中心でApp Runnerを叫ぶ FINAL
Avatar for つくぼし tsukuboshi
0
260
知ってた?JavaScriptの"正しさ"を検証するテストが5万以上もあること(Test262)
Avatar for Riya Amemiya riyaamemiya
1
190

Featured

See All Featured
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.2k
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
2
190
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
280
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
180
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.1k
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1k
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
220
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
3k
Design in an AI World
Avatar for tapps tapps
1
210

Transcript

  1. TOMOHIKO MORITA #sosaisec / /

  2. 背景 インターネット上のセキュリティ脅威 -クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

  3.  不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

  4. タイムライン  年 月 カード情報流出?  年 月初 不正利用の発生 

    年 月中 カード会社から緊急電話  年 月 不正利用キャンセルや返金
  5. None

  6. 不正請求 万円の内訳 AMAZON 件 円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY

    など Google 件 円  GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件 円  FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫 円  PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間 件 明細 ページ

  7. 内訳 : Googleアプリの悪用?  同時期に複数の被害報告  Google Midas という謎の決済情報 

    1ドル×40連打  少額送金アプリや投げ銭?? https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だが ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま

  8. 内訳 : Facebookって有料だっけ?  答えは、ゲーム課金

  9. 内訳 :レンタル倉庫で足が付く!  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

  10. 海外旅行では気を付けよう

  11. スキミング被害?  NO! もっと簡単

  12. そもそも、決済に必要な要素って? クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認 多くのネットショッピングにおいて 必要なのは、たったこれだけ

  13. 攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却する ネット決済に 必要な情報 後日、不正利用

  14. 対策? 物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

  15. まとめ 教訓 : ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる!怪しげなお店では現金がBetter

    教訓 : 大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応

  16. 参考 攻撃事例 : 分散型推測攻撃 総当たり攻撃対策、決済に 10~20回失敗するとそれ以 降STOP 多数のECサイトを使えば、ほ ぼ無制限に試行可能 クレジットカード番号と有効期

    限が分かっている場合、数秒 でセキュリティコードを割り出す ことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号 〇 有効期限 〇 セキュリティコード ? セキュリティコード=XXX センター問合せ 多数のECサイト

  17. 参考 攻撃事例 : サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影 すると、どの数字を押したか は一目瞭然 盗難から身を守る方法は、 暗証番号入力時は他の キーに指を置いておく

    https://gigazine.net/news/20140901-steal-atm-pin-codes/

  18. 参考 攻撃事例 : NFCの中継攻撃 10cm程度の至近距離で データ通信する無線通信で あるNFC 他人のカードのNFCを読み 取り、NFCプロキシツールを により遠隔で悪用

    https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf

  19. 参考 攻撃事例 : QRコードすり替え 中国の市場で、モバイル決 済のためのQRコードが何者 かに貼り替えられる 店主ではなく泥棒の口座に 入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

  20. フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html