総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~ の発表資料です #sosaisec https://sec-kansai.connpass.com/
TOMOHIKO MORITA#sosaisec / /
View Slide
背景 インターネット上のセキュリティ脅威-クレジットカードの不正利用ーhttps://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html
不正利用のタイムライン 不正利用の履歴 どこで、どう漏れたか 事件からの教訓
タイムライン 年 月 カード情報流出? 年 月初 不正利用の発生 年 月中 カード会社から緊急電話 年 月 不正利用キャンセルや返金
不正請求 万円の内訳AMAZON 件 円 AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY などGoogle 件 円 GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY などFACEBK 件 円 FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD などレンタル倉庫 円 PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD日間件明細 ページ
内訳 : Googleアプリの悪用? 同時期に複数の被害報告 Google Midasという謎の決済情報 1ドル×40連打 少額送金アプリや投げ銭??https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3cちなみに関係あるかどうかは不明だがミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま
内訳 : Facebookって有料だっけ? 答えは、ゲーム課金
内訳 :レンタル倉庫で足が付く! PUBLIC STORAGE 25735(NORTHLASVEG) オンラインで申し込んでも、荷物は実在。出張先の近くだ
海外旅行では気を付けよう
スキミング被害? NO! もっと簡単
そもそも、決済に必要な要素って?クレジットカード本体(磁気/IC読み取り)クレジットカード番号有効期限とセキュリティコード署名・サイン暗証番号本人確認多くのネットショッピングにおいて必要なのは、たったこれだけ
攻撃シナリオの推定レストランなどでカード利用をするユーザが店員にカードを預ける店員がバックヤードでカード決済をおこなう店員がバックヤードでクレジットカードの表・裏を写メる店員がユーザにカードを返却するネット決済に必要な情報後日、不正利用
対策? 物理的な方法セキュリティシール・開封防止シールを貼るセキュリティコードを隠すセキュリティコードは暗記する
まとめ教訓 : ITセキュリティも大事だが、まずは物理セキュリティクレジットカードの物理的な自衛が必要教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須日常にひそむ脅威を、日頃から妄想し、対策を打とう悪い人もいる!怪しげなお店では現金がBetter教訓 : 大手クレジットカード会社のサービスの信頼性アラート報告、カードのロック、後日の返金、カード交換など素早い対応
参考攻撃事例 : 分散型推測攻撃総当たり攻撃対策、決済に10~20回失敗するとそれ以降STOP多数のECサイトを使えば、ほぼ無制限に試行可能クレジットカード番号と有効期限が分かっている場合、数秒でセキュリティコードを割り出すことが可能https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/カード番号 〇有効期限 〇セキュリティコード ? セキュリティコード=XXXセンター問合せ多数のECサイト
参考攻撃事例 : サーモグラフィで暗証番号推定赤外線サーモグラフィで撮影すると、どの数字を押したかは一目瞭然盗難から身を守る方法は、暗証番号入力時は他のキーに指を置いておくhttps://gigazine.net/news/20140901-steal-atm-pin-codes/
参考攻撃事例 : NFCの中継攻撃10cm程度の至近距離でデータ通信する無線通信であるNFC他人のカードのNFCを読み取り、NFCプロキシツールをにより遠隔で悪用https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf
参考攻撃事例 : QRコードすり替え中国の市場で、モバイル決済のためのQRコードが何者かに貼り替えられる店主ではなく泥棒の口座に入金されてしまうhttp://www.chinanews.com/sh/2017/07-25/8287110.shtml
フォント http://www.fontna.com/blog/1706/クレジットカードの番号のフォント http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html