20190226_JP_StripesNagoya

Transcript

1. PayPayで話題になったCVCアタックに対してStripe でどう戦うか？ 森 久由生 #JP_Stripes

2. 自己紹介

3. Introduction Name : Hisayuki Mori Company : Cloud9 Holdings Inc.

   Post : CTO Community : JP-Stripes, JAWS-UG 名古屋 Facebook : 森 久由生 Twitter : @hisayuki_mori Blog : https://hisa-tech.site

4. 弊社初のWebサービス

5. Jupiter • 電話占いサービス • 3/6展開予定 • クレジットカード登録にElements • ポイント購入にStripeCharge リリース延期確定ｗ

   Stripeさんとの戦闘はまだ続く・・・

6. いろいろ使ってます

7. 2/22

8. 初JP_Stripes Tokyo 参加！

9. そして・・・

10. 岡本さん ✨ご結婚おめでとうございます✨

11. Developers.IO Cafe

12. None

13. 本日のセッション

14. アジェンダ • 今回起きた問題 • Stripeではどうする？ • StripeRadar • カード登録のみは弾けるのか？ •

    やりたかったこと • まとめ • お楽しみ

15. ブログ見た方は すこし退屈かもしれないです

16. 今回起きた問題

17. PayPayで起きた問題① 今回PayPayで起きた問題はクレジットカード情報漏 洩といわれてるが・・・ 実際はCVC入力失敗の制限を掛けていなかったた め、CVCの総当たりが出来るようになっていた。 ⇛漏れたというより仕組みを利用されたに近い

18. PayPayで起きた問題② 利用されただけなので、クレジットカードがPayPayに 登録していたかどうかはあまり問題ではない 登録されていないクレジットカードでも、番号を保持し ていてCVCがわからないカードはCVC総当たりで突 破されてしまう。

19. Stripeではどうする？

20. Stripeの仕組み Elements経由でクレジットカードを登録した場合 Elements Customer Card(defult) 最初にはCustomerが作成されて、Customerのデフォル トカードとしてのCardが作成される。 token Stripe Front

    End

21. Stripe StripeChargeの仕組み① Elementsでカード情報を送りつつ、そのまま支払をする 場合 Elements Charge Elementsから送らてたToken情報をそのままChargeに 突っ込みます。 この方法ではCustomerもCardも作られませんが、カード 情報も登録されませんので都度入力。

    Front End token

22. StripeChargeの仕組み② Elementsでカード情報を登録。 その後、アプリ側にあるCustomerIDでCharge ChargeAPI Charge 既にElementsなどで登録済みの場合Customerができている ので、APIでCustomerIDをPostすることでCustomerのデフォ ルトカードで決裁出来る。 CustomerID Stripe

    Front End

23. Attention StripeChargeには2パターンある これ大事なところです

24. StripeRadar

25. StripeRadarとは？ • ルールを設定することで、怪しい決済を防げる • 複数のルールを設定可能 – Allowd（許可ルール） – Block（防止ルール） –

    Place in revies（最後に通るルール） • 永久ブロックはリストに追加

26. StripeRadarルール設定

27. StripeRadarでのルールサンプル • Block if: CVC verification fails – 入力ミスされたらブロック •

    Block if :blocks_per_card_number_daily: > 10 – 24時間以内に同じcardで10回以上カード番号を間違 えた場合は支払いブロック • Block if :charge_attempts_per_customer_hour > 5 – 1時間以内に同じcustomerで5回以上の支払試行が された場合はブロック

28. 永久ブロック • Radarのルールが弾くのは都度のトランザクションの みで、永久ブロックしてるわけではない。 • ただし弾いた記録は残るので、明らかにおかしいもの は手動でRadarのリストに追加することで永久ブロッ クが出来る

29. Attention StripeRadarのルールは決済がトリガーになる なので、決済を弾くことは出来ます。

30. カード登録のみは弾けるのか？

31. もう気づいてる人もいるかもしれない

32. Attention カード登録のみは決済を通らない

33. Stripeの仕組み • Elementsから直接決済をせずカード登録のみにした 場合、CustomerとデフォルトCardの作成しかしな い。 ⇛Radarのルール発動条件を満たさない。

34. 間違ったカード登録時の動作①

35. 間違ったカード登録時の動作② • JSONでExceptionが返ってくる • Stripe側には402エラーとしてのログが残る • そもそもカード情報が間違ってるので、Customerも Cardも作られない Stripe側には”あなたのカードのセキュリティコードは正 しくありません。”という記録のみ残って終了

36. やりたかったこと

37. PayPayで起きた問題の対策 課題： CVC入力失敗の制限を掛けていなかったため、CVCの 総当たりが出来るようになっていた。 対策： 決済はもちろん防がないとだが、そもそもカード登録の総 当たりが出来ないように失敗回数上限などを設けたい

38. つまり・・・

39. Attention StripeだけではCVCアタックを 完全に防ぐことは出来ない

40. まとめ

41. まとめ • "支払い”（Chargeなど）はStripeのみで防げる • カード情報入力から決済までを１トランザクションにす ればRadarで引っ掛けて、永久ブロックも可能 • カード登録と決済が別トランザクションだと、CVCア タック対策はStripe単体では難しいアプリで作り込み が必要

42. しかし・・・

43. じつは・・・

44. ここからは裏動作 • StripeRadarのルール部分は起動しないが、機械学 習ツールは動いている。 • 最大限有効にするならすべてのページにStripe.jsを 読み込むタグを入れる ◦ SPAであればTOPページの1箇所に入れればOK ◦

    Stripe.jsが入っているページの動線チェック等を行ってい て、明らかに怪しい動作をしている場合はカード登録前に 弾いている • 100％ではないが、それによりCVCアタックはかなり 防げるとのこと。

45. ここからは裏動作 ここに書いてあることはそういうことらしい

46. 本当のまとめ • "支払い”（Chargeなど）はStripeのみで防げる • カード情報入力から決済までを１トランザクションにす ればRadarで引っ掛けて、永久ブロックも可能 • カード登録と決済が別トランザクションだと、CVCア タック対策はStripe単体では難しいアプリで作り込み が必要

    • new すべてのページにStripe.jsを読み込ませてお けば、Radarの機械学習ツールで怪しい動作を検知 して、カード登録以前で弾くことが出来る

47. Radarはルールとリストだけではないのだ

48. お知らせ

49. None

50. JP_Stripes Connect 2019 !! JP_Stripes初の全国イベント！！ 2019/03/21(木) 13:00〜 エムオーテックス新大阪ビルにて

51. LT応募しました！！ 今も続いてるStripe様との戦いについて 簡易版を話そうと思います♪

52. まだまだ応募すくない！！ 皆様奮ってご参加ください

53. None

54. ご清聴ありがとうございました