Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クレジットカードを不正利用された話

 クレジットカードを不正利用された話

総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/

14b822229bfc62c5b8d9108654d19f7e?s=128

Tomohiko Morita

August 08, 2018
Tweet

Transcript

  1. TOMOHIKO MORITA #sosaisec / /

  2. 背景 インターネット上のセキュリティ脅威 -クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

  3.  不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

  4. タイムライン  年 月 カード情報流出?  年 月初 不正利用の発生 

    年 月中 カード会社から緊急電話  年 月 不正利用キャンセルや返金
  5. None
  6. 不正請求 万円の内訳 AMAZON 件 円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY

    など Google 件 円  GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件 円  FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫 円  PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間 件 明細 ページ
  7. 内訳 : Googleアプリの悪用?  同時期に複数の被害報告  Google Midas という謎の決済情報 

    1ドル×40連打  少額送金アプリや投げ銭?? https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だが ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま
  8. 内訳 : Facebookって有料だっけ?  答えは、ゲーム課金

  9. 内訳 :レンタル倉庫で足が付く!  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

  10. 海外旅行では気を付けよう

  11. スキミング被害?  NO! もっと簡単

  12. そもそも、決済に必要な要素って? クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認 多くのネットショッピングにおいて 必要なのは、たったこれだけ

  13. 攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却する ネット決済に 必要な情報 後日、不正利用

  14. 対策? 物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

  15. まとめ 教訓 : ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる!怪しげなお店では現金がBetter

    教訓 : 大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応
  16. 参考 攻撃事例 : 分散型推測攻撃 総当たり攻撃対策、決済に 10~20回失敗するとそれ以 降STOP 多数のECサイトを使えば、ほ ぼ無制限に試行可能 クレジットカード番号と有効期

    限が分かっている場合、数秒 でセキュリティコードを割り出す ことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号 〇 有効期限 〇 セキュリティコード ? セキュリティコード=XXX センター問合せ 多数のECサイト
  17. 参考 攻撃事例 : サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影 すると、どの数字を押したか は一目瞭然 盗難から身を守る方法は、 暗証番号入力時は他の キーに指を置いておく

    https://gigazine.net/news/20140901-steal-atm-pin-codes/
  18. 参考 攻撃事例 : NFCの中継攻撃 10cm程度の至近距離で データ通信する無線通信で あるNFC 他人のカードのNFCを読み 取り、NFCプロキシツールを により遠隔で悪用

    https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf
  19. 参考 攻撃事例 : QRコードすり替え 中国の市場で、モバイル決 済のためのQRコードが何者 かに貼り替えられる 店主ではなく泥棒の口座に 入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

  20. フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html