外部決済サービスを利用する上での脆弱ポイントと対策 / Vulnerable points and countermeasures for using external payment services

֎෦ܾࡁαʔϏεΛར༻͢Δ্Ͱͷ੬ऑϙΠϯτͱରࡦ QSJTNBUJYࣄۀ෦໺ଜܒҰ

໨࣍

ΞδΣϯμ w ܾࡁͰΑ͋͘ΔભҠʹ͍ͭͯ w ͦͷதͰ੬ऑͱͳΓಘΔϙΠϯτ w ੬ऑϙΠϯτ΁ͷରࡦ

૝ఆࢹௌऀ w &$αΠτͳͲͷܾࡁػೳΛ։ൃ͢Δํ w ֎෦ͷܾࡁαʔϏε 4USJQF "NB[PO1BZͳͲ Λར༻

ࣗݾ঺հ

ࣗݾ঺հ ΫϥεϝιουQSJTNBUJYࣄۀ෦ QSJTNBUJY஫จܾࡁαʔϏε୲౰ ໺ଜܒҰ

QSJTNBUJYͷ͝঺հ ɾ&$$3.ಛԽܕ"1*ϓϥοτϑΥʔϜ ɾϚΠΫϩαʔϏεΫϥ΢υωΠςΟϒ ɾΫϥεϝιουͷ##ࣗࣾαʔϏε https://prismatix.jp/

ܾࡁͰΑ͋͘ΔભҠ

ྫʣΫϨδοτΧʔυͷ%ηΩϡΞܾࡁ https://www.veritrans.co.jp/user_support/3d-secure.html ΫϨδοτΧʔυͰຊਓೝূΛඞཁͱ͢Δܾࡁ ˞ΫϨδοτΧʔυܾࡁ୅ߦͷ%('5ʹΑΔઆ໌

ྫʣ"NB[PO1BZܾࡁ https://pay.amazon.co.jp/using-amazon-pay "NB[POͷΞΧ΢ϯτʹొ࿥ͨ͠ࢧ෷͍ํ๏Λར༻ͯ͠ ܾࡁͰ͖ΔαʔϏε ˞"NB[PO1BZߪೖऀ޲͚αΠτʹΑΔઆ໌

ڞ௨͢ΔભҠ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ

&$αΠτͳͲɺࣗલͰ։ൃ͢Δػೳ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ

֎෦αʔϏε͕ఏڙ͢Δػೳ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ

஫จ׬ྃͷλΠϛϯά ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ࠷ॳʹड͚෇͚ͨ஫จ͕੒ཱ͢Δ

ಉ͓͡٬༷͕ભҠ͢Δ͜ͱΛ૝ఆ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ

ؾΛ͚ͭΔ΂͖ϙΠϯτ

஫จ׬ྃͷλΠϛϯάʢ࠶ܝ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ࠷ॳʹड͚෇͚ͨ஫จ͕੒ཱ͢Δ

ؾΛ͚ͭΔ΂͖ϙΠϯτ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ͜ͷભҠʹ஫໨
࠷ॳʹड͚෇͚ͨ஫จ͕੒ཱ͢Δ

ؾΛ͚ͭΔ΂͖ϙΠϯτ ஫จ׬ྃʹભҠͰ͖Δͷ͸ ֎෦αʔϏεͱ͸ݶΓ·ͤΜ

ѱҙ͋ΔϢʔβʔͷૢ࡞ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ

ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ

ѱҙ͋ΔϢʔβʔͷૢ࡞ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ϦΫΤετ͕໰୊ͳ͚Ε͹஫จ֬ఆ

ѱҙ͋ΔϢʔβʔͷૢ࡞ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓ৘ใ΍Χʔυ৘ใͳͲͷೖྗΛεΩοϓͯ͠
஫จͰ͖Δʢʂʁʣ ϦΫΤετ͕໰୊ͳ͚Ε͹஫จ֬ఆ

Կ΋ରࡦ͍ͯ͠ͳ͍ͱ ϦΫΤετ಺༰͕໰୊ͳ͚Ε͹ ແ৚݅Ͱ஫จͰ͖Δ

֎෦αʔϏε͔Β݁ՌΛड͚औΔػೳͷྫ w ֎෦αʔϏε͔ΒͷίʔϧόοΫ ϦμΠϨΫτ ઌ ͱͳΔը໘ w ઌʹྫࣔͨ͠ʮ஫จ׬ྃը໘ʯͳͲ w
֎෦αʔϏε͕ൃߦͨ͠ΠϕϯτΛड͚औΔ   ΤϯυϙΠϯτ 8FCIPPL w ֎෦αʔϏε͔ΒΞΫηεՄೳͱ͢ΔͨΊ   ެ։͍ͯ͠Δ͜ͱ͕લఏɻ୭Ͱ΋ΞΫηεՄೳ

੬ऑϙΠϯτ΁ͷରࡦ

੬ऑϙΠϯτ΁ͷରࡦᶃ ૝ఆ͢Δૹ৴ݩͰ͋Δ͜ͱΛݕূ͢Δ

ૹ৴ݩݕূΛར༻ͨ͠ભҠ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จ׬ྃ͢ΔલʹɺϦΫΤετݩ͕
૝ఆͨ͠ૹ৴ݩͰ͋Δ͔֬ೝ

ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ

ѱҙ͋ΔϢʔβʔͷૢ࡞ΛϒϩοΫ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ
஫จ׬ྃ͢ΔલʹɺϦΫΤετݩ͕ ૝ఆͨ͠ૹ৴ݩͰ͋Δ͔֬ೝ ૝ఆ֎ͳΒϒϩοΫ × ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ

w ֎෦αʔϏεΛಛఆͰ͖Δ৘ใ͔Βݕূ͢Δ w *1ΞυϨεɺϦϑΝϥͳͲ w ͋Δ͍͸ɺ֎෦αʔϏε͕ఏڙ͢Δݕূํ๏Λར༻ ͢Δ w ྫʣ4USJQF͕ఏڙ͢Δݕূํ๏
w 8FCIPPLͷॺ໊Λ֬ೝ͢Δ ૝ఆ͢Δૹ৴ݩͰ͋Δ͜ͱΛݕূ͢Δํ๏ https://stripe.com/docs/webhooks/signatures

੬ऑϙΠϯτ΁ͷରࡦᶄ ೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢Δ

೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢Δ৔߹ͷભҠ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ᶃ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺอ࣋͢Δ

஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ᶃ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺอ࣋͢Δ ೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢Δ৔߹ͷભҠ
ᶄ஫จ׬ྃભҠઌʹɺੜ੒ͨ͠ύϥϝʔλ΋ૹΔΑ͏ ʹઃఆ͢Δ

஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ᶅอ࣋ͨ͠ύϥϝʔλͱɺ ֎෦αʔϏε͔ΒͷύϥϝʔλΛর߹
Ұக͍ͯ͠Ε͹0, ᶃ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺอ࣋͢Δ ᶄ஫จ׬ྃભҠઌʹɺੜ੒ͨ͠ύϥϝʔλ΋ૹΔΑ͏ ʹઃఆ͢Δ ೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢Δ৔߹ͷભҠ

ᶃͷૢ࡞ͷࡍʹ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺ อ࣋͢Δ

ᶃͷૢ࡞ͷࡍʹ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺ อ࣋͢Δ ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ

஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃͷૢ࡞ͷࡍʹ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺ อ࣋͢Δ ѱҙ͋ΔϢʔβʔͷૢ࡞ΛϒϩοΫ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ
஫จ׬ྃ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ อ͓͍࣋ͯͨ͠ύϥϝʔλͱɺِ૷ͨ͠ϦΫΤετͷ ύϥϝʔλΛൺֱɻҰகͯ͠ͳ͚Ε͹ϒϩοΫ × ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ

೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢ΔରࡦͷޮՌ w $43'ͷରࡦͱͯ͠΋༗ޮ w ҆શͳ΢ΣϒαΠτͷ࡞Γํ$43'ʢΫϩ εαΠτɾϦΫΤετɾϑΥʔδΣϦʣɿ*1"ಠ ཱߦ੓๏ਓ৘ใॲཧਪਐػߏ https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html

·ͱΊ

·ͱΊ ֎෦ܾࡁαʔϏεΛؒʹڬΉܾࡁͷ৔߹ ܾࡁ݁ՌͷडऔΛ୭Ͱ΋࣮ߦͰ͖ͳ͍Α͏ʹ ରࡦ͠·͠ΐ͏

外部決済サービスを利用する上での脆弱ポイントと対策 / Vulnerable points a...

外部決済サービスを利用する上での脆弱ポイントと対策 / Vulnerable points and countermeasures for using external payment services

More Decks by Keiichi Nomura

Other Decks in Technology

Featured

Transcript