$30 off During Our Annual Pro Sale. View Details »

クレジットカードを不正利用された話

Tomohiko Morita
August 08, 2018
Technology
0
1.2k

 クレジットカードを不正利用された話

総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/

Tomohiko Morita

August 08, 2018
Tweet

More Decks by Tomohiko Morita

See All by Tomohiko Morita
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
760
ガンダム × ネーミング
deka_morita
0
440
ガンダム勉強会@関西アンケート集計
deka_morita
0
690
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
560
物理なポチポチ操作自動化
deka_morita
1
230
まじめな技術者のためのWEBフィルタリング回避術
deka_morita
1
510

Other Decks in Technology

See All in Technology
Making your Kubernetes-based log collection reliable & durable with Vector
palark
0
320
EventStormingとRDRA2.0で大規模レガシーシステムのフルリニューアルPJに挑む
leveragestech
0
1.1k
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
620
SmartHRのマルチプロダクト戦略実行の苦悩と挑戦
h1kita
4
2.6k
LLMエンジニアリングを加速させるソフトウェアアーキテクチャ
tkikuchi1002
0
370
エンタープライズSaaSへの挑戦〜顧客の事業を成長させるプロダクトマネジメントとは?〜 / pmconf2023
route06
2
480
ソフトウェアの内部品質に生じる様々な問題は組織設計にその原因があることも多い / Internal Quality Issues Caused by Organizational Design
mtx2s
108
43k
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
640
なぜ
リアーキテクティング専任チームを作ったのか
kei_s
PRO
2
990
サービスの1等地ホーム画面改善と効果的なステークホルダーマネジメント / Improvement of Prime Location Home Screen for Services and Effective Stakeholder Management
rilmayer
0
150
ROSCon 2023参加報告:Real-Time Workshop & Zenoh's Current Status and Forecast
takasehideki
1
210
LINE WORKS 最新メジャーアップデート(v3.8)勉強会
lwug
0
130

Featured

See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.2k
Embracing the Ebb and Flow
colly
77
3.8k
Docker and Python
trallard
32
2.4k
The Web Native Designer (August 2011)
paulrobertlloyd
78
2.7k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.2k
Writing Fast Ruby
sferik
615
59k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
177
10k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.3k
Building Applications with DynamoDB
mza
87
5.3k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
240
20k
Side Projects
sachag
450
39k

Transcript

  1. TOMOHIKO MORITA
    #sosaisec / /

    View Slide

  2. 背景 インターネット上のセキュリティ脅威
    -クレジットカードの不正利用ー
    https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

    View Slide

  3.  不正利用のタイムライン
     不正利用の履歴
     どこで、どう漏れたか
     事件からの教訓

    View Slide

  4. タイムライン
     年 月 カード情報流出?
     年 月初 不正利用の発生
     年 月中 カード会社から緊急電話
     年 月 不正利用キャンセルや返金

    View Slide

  5. View Slide

  6. 不正請求 万円の内訳
    AMAZON 件 円
     AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY など
    Google 件 円
     GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など
    FACEBK 件 円
     FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など
    レンタル倉庫 円
     PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD
    日間

    明細 ページ

    View Slide

  7. 内訳 : Googleアプリの悪用?
     同時期に複数の被害報告
     Google Midas
    という謎の決済情報
     1ドル×40連打
     少額送金アプリや投げ銭??
    https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c
    ちなみに関係あるかどうかは不明だが
    ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま

    View Slide

  8. 内訳 : Facebookって有料だっけ?
     答えは、ゲーム課金

    View Slide

  9. 内訳 :レンタル倉庫で足が付く!
     PUBLIC STORAGE 25735(NORTHLASVEG)
     オンラインで申し込んでも、荷物は実在。出張先の近くだ

    View Slide

  10. 海外旅行では気を付けよう

    View Slide

  11. スキミング被害?
     NO! もっと簡単

    View Slide

  12. そもそも、決済に必要な要素って?
    クレジットカード本体(磁気/IC読み取り)
    クレジットカード番号
    有効期限とセキュリティコード
    署名・サイン
    暗証番号
    本人確認
    多くのネットショッピングにおいて
    必要なのは、たったこれだけ

    View Slide

  13. 攻撃シナリオの推定
    レストランなどでカード利用をする
    ユーザが店員にカードを預ける
    店員がバックヤードでカード決済をおこなう
    店員がバックヤードでクレジットカードの表・裏を写メる
    店員がユーザにカードを返却する
    ネット決済に
    必要な情報
    後日、不正利用

    View Slide

  14. 対策? 物理的な方法
    セキュリティシール・開封防止シールを貼る
    セキュリティコードを隠す
    セキュリティコードは暗記する

    View Slide

  15. まとめ
    教訓 : ITセキュリティも大事だが、まずは物理セキュリティ
    クレジットカードの物理的な自衛が必要
    教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須
    日常にひそむ脅威を、日頃から妄想し、対策を打とう
    悪い人もいる!怪しげなお店では現金がBetter
    教訓 : 大手クレジットカード会社のサービスの信頼性
    アラート報告、カードのロック、後日の返金、カード交換など素早い対応

    View Slide

  16. 参考
    攻撃事例 : 分散型推測攻撃
    総当たり攻撃対策、決済に
    10~20回失敗するとそれ以
    降STOP
    多数のECサイトを使えば、ほ
    ぼ無制限に試行可能
    クレジットカード番号と有効期
    限が分かっている場合、数秒
    でセキュリティコードを割り出す
    ことが可能
    https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/
    カード番号 〇
    有効期限 〇
    セキュリティコード ? セキュリティコード=XXX
    センター問合せ
    多数のECサイト

    View Slide

  17. 参考
    攻撃事例 : サーモグラフィで暗証番号推定
    赤外線サーモグラフィで撮影
    すると、どの数字を押したか
    は一目瞭然
    盗難から身を守る方法は、
    暗証番号入力時は他の
    キーに指を置いておく
    https://gigazine.net/news/20140901-steal-atm-pin-codes/

    View Slide

  18. 参考
    攻撃事例 : NFCの中継攻撃
    10cm程度の至近距離で
    データ通信する無線通信で
    あるNFC
    他人のカードのNFCを読み
    取り、NFCプロキシツールを
    により遠隔で悪用
    https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf

    View Slide

  19. 参考
    攻撃事例 : QRコードすり替え
    中国の市場で、モバイル決
    済のためのQRコードが何者
    かに貼り替えられる
    店主ではなく泥棒の口座に
    入金されてしまう
    http://www.chinanews.com/sh/2017/07-25/8287110.shtml

    View Slide

  20. フォント

     http://www.fontna.com/blog/1706/
    クレジットカードの番号のフォント
     http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html

    View Slide