クレジットカードのセキュリティ

Transcript

1. クレジットカードの セキュリティ 2021/02/26 井上 佳祐 29SEC〜⾁節句〜 2021 Online 情報セキュリティの⽕を絶やさないイベント

2. whoami /all • Username • いのうえ けいすけ • Hobby •

   海外旅⾏ • クレジットカード • Group • 株式会社ラック（since 2019, 社会⼈2年⽬） デジタルペンテストサービス部 • Certification • PADI Open Water Diver • Registered Information Security Specialist （No.019097） • Certified Red Team Professional（CRTP）

3. 【CRTP取得奮闘記】WindowsADセキュリティ資格を攻略してみた︕ https://note.com/lacnote/

4. 今⽇のはなし

5. 今⽇のはなし

6. 今⽇のはなし

7. 今⽇のはなし クレジットカード決済

8. 今⽇のはなし

9. 今⽇のはなし

10. 今⽇のはなし

11. 今⽇のはなし クレジットカード決済

12. 今⽇のはなし

13. 今⽇のはなし クレジットカード決済にはどんなセキュリティがあるの︖

14. アジェンダ • クレジットカードのエコシステム • クレジットカードの決済フロー • ISO8535 • クレジットカードのセキュリティ •

    対⾯決済 • ネット決済 • ISO20022 • まとめ

15. クレジットカードのエコシステム Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) アライアンス アライアンス 加盟店契約

    カード会員契約 加盟店 カード会員 カード利⽤ / 商品・サービスの提供

16. クレジットカードのエコシステム Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) アライアンス アライアンス 加盟店契約

    カード会員契約 加盟店 カード会員 カード利⽤ / 商品・サービスの提供 加盟店の開拓 共通プラットフォーム (Visa, JCB…など)の提供 カード会員の開拓

17. クレジットカードの決済フロー Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上 (3)仮売上 (3)仮売上

    (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上

18. クレジットカードの決済フロー Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上 (3)仮売上 (3)仮売上

    (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 仮売上︓ オーソリゼーション（与信、オーソリ）

19. クレジットカードの決済フロー Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上 (3)仮売上 (3)仮売上

    (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 実売上︓ クリアリング（売上確定）

20. クレジットカードのプロトコル(ISO8583) Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上 ISO8583 (3)仮売上

    ISO8583 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上

21. クレジットカードのプロトコル(ISO8583) • ISO8583、、、をベースにしたプロコトル • それぞれの会社ごとにプロトコルの喋り⽅が若⼲ことなる。 • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごと に決まっているような感じ。 • TCP/IP

    →ISO8583 - Wikipedia https://ja.wikipedia.org/wiki/ISO_8583 • 詳しくは、バンドルカードでおなじみのカンム社のスライドがおもしろい。 →クレジットカードの通信プロトコルISO8583と戦う – Speaker Deck https://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u

22. クレジットカードのセキュリティ • ネットおよび対⾯決済 • 異常検知 • オーソリの内容や直近のトランザクション関係を精査 • 下記のような場合オーソリを拒否、最悪カードを⼀時利⽤停⽌ •

    普段使わないようなところ（海外サイト、オンラインゲーム）での購⼊ • 普段使わない⾦額（少額決済しかしない⼈が⾼額決済）での購⼊ • サブスクへの登録 • 不正利⽤の多い使い⽅ • 電⼦マネーへの⾼額連続チャージ（JCBカードが割と敏感） • 実際のところ瞬時に異常検知できてる例はそんなにないのではないかと思ってる。 Issuer (イシュア) オーソリ

23. クレジットカードのセキュリティ • 対⾯決済時（本⼈確認） 磁気 ・署名 カードへの署名とレシー トへの署名を⽐べて、利 ⽤した店舗の従業員が本 ⼈確認

24. クレジットカードのセキュリティ • 対⾯決済時（本⼈確認） 磁気 ・署名 カードへの署名とレシー トへの署名を⽐べて、利 ⽤した店舗の従業員が本 ⼈確認 ・磁気ストライプはスキミングに⾮常に弱い

    ・署名の⾒⽐べで厳密に本⼈確認できない →不正利⽤が減らない ・セキュリティコード 実は対⾯磁気決済時にもCVC1、CVV1と呼ばれる、セキュリティ コード（カード裏⾯のコードとは別物）が利⽤されるが、磁気ス トライプに記録されているためスキミングが簡単な現状意味をな していない。 EC諸国を筆頭にICカードとPINの⼊⼒以外のクレジットカードを受 け付けないような⾵潮になり、⽇本においてもICカードの発⾏を 義務化。あのICカード化に消極的だったセゾンカードもICカードを 発⾏することになった。 →ということでクレカの⼤ICカード化時代に突⼊

25. クレジットカードのセキュリティ • 対⾯決済時（本⼈確認） IC ・PIN あらかじめ⾃分で設定 した暗証番号を⽀払い 時に⼊⼒し本⼈認証

26. クレジットカードのセキュリティ • 対⾯決済時（本⼈確認） IC ・PIN あらかじめ⾃分で設定 した暗証番号を⽀払い 時に⼊⼒し本⼈認証 ・ICカードの耐タンパ性でスキミング困難 ・セキュリティコード

    実は対⾯IC決済時にもiCVV、動的CVVと呼ばれる、電⼦的に⽣成し たセキュリティコード（カード裏⾯のコードとは別物）が利⽤さ れる。 ApplePayやGooglePayが⾮接触決済を始めるが、独⾃路線派なVISA はプラスチックカードの新規発⾏時に⾮接触決済⽤のアンテナ （NFC決済）をつけることを義務化し、あのNFC対応カード発⾏に 消極的だった楽天カード（VISA）も発⾏するようになる。（未だ に⽇本のApplePayではVISAの国際ブランド決済に⾮対応） →ということで⼤⾮接触IC化時代に突⼊ と⾔いたいところだが⽇本を含め交通系ICや電⼦マネーで すでに決済の⾮接触IC化は進んでいたのであった。

27. クレジットカードのセキュリティ • 対⾯決済時（本⼈確認） IC ⾮接触IC ・PIN あらかじめ⾃分で設定 した暗証番号を⽀払い 時に⼊⼒し本⼈認証 ・カード

    利便性を⾼めるためカー ド所有による本⼈認証に とどめ、利⽤制限を少額 にし不正対策 ⾮接触IC（ApplePay） ・指紋、顔 基本的に⾮接触ICと同様、 ただし不正対策として指 紋認証や顔認証で本⼈認 証

28. クレジットカードのセキュリティ • 対⾯決済のトラストアンカー︓何を持って信⽤するか。 IC ⾮接触IC ・PIN︓知識 あらかじめ⾃分で設定 した暗証番号を⽀払い 時に⼊⼒し本⼈認証 ・カード︓所有物

    利便性を⾼めるためカー ド所有による本⼈認証に とどめ、利⽤制限を少額 にし不正対策 ⾮接触IC（ApplePay） ・指紋、顔︓⽣体 基本的に⾮接触ICと同様、 ただし不正対策として指 紋認証や顔認証で本⼈認 証

29. クレジットカードのセキュリティ • ネット決済時 セキュリティコード（CVC2、CVV2） ・ねらい カードの裏⾯にある3桁のコードを⼊⼒させる カード番号と有効期限だけで決済できないようにすることで不正利 ⽤を防⽌

30. クレジットカードのセキュリティ • ネット決済時 セキュリティコード（CVC2、CVV2） ・ねらい カードの裏⾯にある3桁のコードを⼊⼒させる カード番号と有効期限だけで決済できないようにすることで不正利 ⽤を防⽌ ・問題点 -

    Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号など とともに流出→現在は保存しないようにということにはなっている。 - 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかった PayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/

31. クレジットカードのセキュリティ • ネット決済時 セキュリティコード（CVC2、CVV2） ・ねらい カードの裏⾯にある3桁のコードを⼊⼒させる カード番号と有効期限だけで決済できないようにすることで不正利 ⽤を防⽌ ・問題点 -

    Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号など とともに流出→現在は保存しないようにということにはなっている。 - 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかった PayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/ →カード発⾏会社により⾼度な本⼈認証をしてもらおう︕

32. クレジットカードのセキュリティ • ネット決済時 3Dセキュア

33. クレジットカードのセキュリティ • ネット決済時 3Dセキュア 3DのDは、領域（ドメイン）のD、

34. クレジットカードのセキュリティ • ネット決済時 3Dセキュア 3DのDは、領域（ドメイン）のD、2次元3次元のDではない。 ✕

35. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上

    (3)仮売上 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上

36. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上

    (3)仮売上 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 アクワイアラドメイン

37. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上

    (3)仮売上 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 アクワイアラドメイン イシュアドメイン

38. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上

    (3)仮売上 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 アクワイアラドメイン イシュアドメイン 相互運⽤ドメイン

39. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) (3)仮売上

    (3)仮売上 (3)仮売上 (1)カード発⾏ 加盟店 カード会員 (2)利⽤ (6)請求 (4)商品・サービスの提供 (5)実売上 (5)実売上 (5)実売上 アクワイアラドメイン イシュアドメイン 相互運⽤ドメイン 3Dセキュアの基本的な仕組み カード会員と加盟店双⽅が、互いを確認し合うことができる

40. クレジットカードのセキュリティ - 3Dセキュア Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) 加盟店

    (2)オーソリ アクワイアラドメイン イシュアドメイン 相互運⽤ドメイン カード会員 (0)利⽤ (1)決済 要求 (2)オーソリ イシュア 管理サーバ (3)検証要求 (4)検証応答 (5-1)認証要求 (5-2)認証要求 (6-1)認証応答 (6-2)認証応答 (7)決済 完了

41. クレジットカードのセキュリティ • ネット決済時 3Dセキュア ・ねらい カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌

42. クレジットカードのセキュリティ • ネット決済時 3Dセキュア ・ねらい カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌ ・問題点 - 結局固定されたIDとPWなので流出した情報に弱い

    - 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯ が表⽰されてしまう →不信感から購⼊を辞め、かご落ちする原因となる - モバイル環境からの利⽤にも互換性の問題など不都合が多い

43. クレジットカードのセキュリティ • ネット決済時 3Dセキュア ・ねらい カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌ ・問題点 - 結局固定されたIDとPWなので流出した情報に弱い

    - 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯ が表⽰されてしまう →不信感から購⼊を辞め、かご落ちする原因となる - モバイル環境からの利⽤にも互換性の問題など不都合が多い →SMSやアプリなどのワンタイムパスワード、さらにリスクベース認証 にも対応させ、モバイル決済⽤のSDKも提供しよう︕

44. クレジットカードのセキュリティ • ネット決済時 3Dセキュア2.0

45. クレジットカードのセキュリティ - 3Dセキュア2.0 Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) 加盟店

    (2)オーソリ アクワイアラドメイン イシュアドメイン 相互運⽤ドメイン カード会員 (0)利⽤ (1)決済 要求 (2)オーソリ イシュア 管理サーバ (3)認証要求・応答 (6)結果応答・要求 (4)チャレンジ 要求 (7)決済 完了 (5)チャレンジ応答 リスクベース認証 ワンタイムパスワード

46. クレジットカードのセキュリティ - 3Dセキュア2.0 Acquirer (アクワイアラ) Brand (ブランド) Issuer (イシュア) 加盟店

    (2)オーソリ アクワイアラドメイン イシュアドメイン 相互運⽤ドメイン カード会員 (0)利⽤ (1)決済 要求 (2)オーソリ イシュア 管理サーバ (3)認証要求・応答 (6)結果応答・要求 (4)チャレンジ 要求 (7)決済 完了 (5)チャレンジ応答 リスクベース認証 ワンタイムパスワード 3Dセキュア2.0 ・シームレスに煩わしい認証の回数を抑えて決済可能 ・フリクションレス・フロー

47. クレジットカードのセキュリティ • ネット決済時（本⼈確認） セキュリティコード 3Dセキュア ・コード カードに表記された コードを⼊⼒させるこ とで不正対策 ・パスワード

    あらかじめ設定したパス ワードを⼊⼒させること で不正対策 3Dセキュア2.0 ・リスクベース認証 ワンタイムパスワード いつもと違う環境か、そうでなければ ワンタイムパスワードを送信し⼊⼒さ せることで不正対策

48. クレジットカードのセキュリティ • ネット決済のトラストアンカー︓何を持って信⽤するか セキュリティコード 3Dセキュア ・コード︓所有物 カードに表記された コードを⼊⼒させるこ とで不正対策 ・パスワード︓知識

    あらかじめ設定したパス ワードを⼊⼒させること で不正対策 3Dセキュア2.0 ・リスクベース認証︓ふるまい・環境 ワンタイムパスワード︓所有物 いつもと違う環境か、そうでなければ ワンタイムパスワードを送信し⼊⼒さ せることで不正対策

49. おまけ ISO20022 • 次世代クレカ決済プロトコル • ISO8583 • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まってい るような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖ ↓

    • ISO20022、nexo • 「ISO8583」のような、PSP（ペイメント・サービス・プロバイダー）とアクワイアラ（加盟 店開拓事業者）との通信の再定義を含む公開された決済電⽂プロトコル • 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユース ケースや認証分野を広くカバーしている。 • Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navi https://paymentnavi.com/paymentnews/102294.html

50. おまけ ISO20022 • 次世代クレカ決済プロトコル • ISO8583 • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まってい るような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖ ↓

    • ISO20022、nexo • 「ISO8583」のような、PSP（ペイメント・サービス・プロバイダー）とアクワイアラ（加盟 店開拓事業者）との通信の再定義を含む公開された決済電⽂プロトコル • 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユース ケースや認証分野を広くカバーしている。 • XMLのルールで作成されている︕︕ • Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navi https://paymentnavi.com/paymentnews/102294.html

51. まとめ • クレジットカード決済のセキュリティ技術について簡単にまとめた。 • セキュリティと利便性のトレードオフが垣間⾒えた。 • ただ決済のセキュリティについての詳細な規格のドキュメント（ISOや JISやRFCなどの）が2⽇間軽く調べた感じだといい感じなのが⾒つからな かったので、詳しい⼈いたら教えて下さい︕ •

    ノーキャッシュレス・ノーライフ︕

52. 参考⽂献 • カード決済業務のすべて – GitHub Gist https://gist.github.com/gushernobindsme/9e80606cbf01117b143a7ae8d97c5483 • クレジットカードの通信プロトコル ISO8583

    と戦う – Speaker Deck https://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u • ISO 8583 – Wikipedia https://ja.wikipedia.org/wiki/ISO_8583 • 3Dセキュア認証 – GPayments https://www.gpayments.com/jp/about/3d-secure/ • 3Dセキュア2.0による強⼒なeコマースの不正防⽌ - GPayment https://www.gpayments.com/jp/about/3d-secure-2.0/ • 3DSecure2 https://3dsecure2.com/jp/ • ISO-20022の概要 – ⽇本銀⾏ https://www.boj.or.jp/paym/iso/isotc68/data/1ISO20022gaiyo.pdf

53. 宣伝 • セキュリティごった煮ブログ（https://note.com/lacnote/）

54. 宣伝 • 最新の記事(2/26現在)

55. Thank you. Any Questions? ※この講演における発⾔及び資料の内容は、個⼈の⾒解を含んでいます。 それらは、所属する企業や団体を代表するものではありません。 〜備えあれば憂いなし〜