Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クレジットカードのセキュリティ

Keisuke Inoue
February 26, 2021

 クレジットカードのセキュリティ

29SEC〜肉節句〜 2021 OnlineでのLTスライドです。
https://passmarket.yahoo.co.jp/event/show/detail/01iyxn11h3epj.html

Keisuke Inoue

February 26, 2021
Tweet

More Decks by Keisuke Inoue

Other Decks in Technology

Transcript

  1. クレジットカードの
    セキュリティ
    2021/02/26
    井上 佳祐
    29SEC〜⾁節句〜 2021 Online
    情報セキュリティの⽕を絶やさないイベント

    View full-size slide

  2. whoami /all
    • Username
    • いのうえ けいすけ
    • Hobby
    • 海外旅⾏
    • クレジットカード
    • Group
    • 株式会社ラック(since 2019, 社会⼈2年⽬)
    デジタルペンテストサービス部
    • Certification
    • PADI Open Water Diver
    • Registered Information Security Specialist (No.019097)
    • Certified Red Team Professional(CRTP)

    View full-size slide

  3. 【CRTP取得奮闘記】WindowsADセキュリティ資格を攻略してみた︕
    https://note.com/lacnote/

    View full-size slide

  4. 今⽇のはなし

    View full-size slide

  5. 今⽇のはなし

    View full-size slide

  6. 今⽇のはなし

    View full-size slide

  7. 今⽇のはなし
    クレジットカード決済

    View full-size slide

  8. 今⽇のはなし

    View full-size slide

  9. 今⽇のはなし

    View full-size slide

  10. 今⽇のはなし

    View full-size slide

  11. 今⽇のはなし
    クレジットカード決済

    View full-size slide

  12. 今⽇のはなし

    View full-size slide

  13. 今⽇のはなし
    クレジットカード決済にはどんなセキュリティがあるの︖

    View full-size slide

  14. アジェンダ
    • クレジットカードのエコシステム
    • クレジットカードの決済フロー
    • ISO8535
    • クレジットカードのセキュリティ
    • 対⾯決済
    • ネット決済
    • ISO20022
    • まとめ

    View full-size slide

  15. クレジットカードのエコシステム
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    アライアンス アライアンス
    加盟店契約 カード会員契約
    加盟店 カード会員
    カード利⽤ / 商品・サービスの提供

    View full-size slide

  16. クレジットカードのエコシステム
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    アライアンス アライアンス
    加盟店契約 カード会員契約
    加盟店 カード会員
    カード利⽤ / 商品・サービスの提供
    加盟店の開拓
    共通プラットフォーム
    (Visa, JCB…など)の提供
    カード会員の開拓

    View full-size slide

  17. クレジットカードの決済フロー
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上

    View full-size slide

  18. クレジットカードの決済フロー
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    仮売上︓
    オーソリゼーション(与信、オーソリ)

    View full-size slide

  19. クレジットカードの決済フロー
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    実売上︓
    クリアリング(売上確定)

    View full-size slide

  20. クレジットカードのプロトコル(ISO8583)
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上
    ISO8583
    (3)仮売上
    ISO8583
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上

    View full-size slide

  21. クレジットカードのプロトコル(ISO8583)
    • ISO8583、、、をベースにしたプロコトル
    • それぞれの会社ごとにプロトコルの喋り⽅が若⼲ことなる。
    • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごと
    に決まっているような感じ。
    • TCP/IP
    →ISO8583 - Wikipedia
    https://ja.wikipedia.org/wiki/ISO_8583
    • 詳しくは、バンドルカードでおなじみのカンム社のスライドがおもしろい。
    →クレジットカードの通信プロトコルISO8583と戦う – Speaker Deck
    https://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u

    View full-size slide

  22. クレジットカードのセキュリティ
    • ネットおよび対⾯決済
    • 異常検知
    • オーソリの内容や直近のトランザクション関係を精査
    • 下記のような場合オーソリを拒否、最悪カードを⼀時利⽤停⽌
    • 普段使わないようなところ(海外サイト、オンラインゲーム)での購⼊
    • 普段使わない⾦額(少額決済しかしない⼈が⾼額決済)での購⼊
    • サブスクへの登録
    • 不正利⽤の多い使い⽅
    • 電⼦マネーへの⾼額連続チャージ(JCBカードが割と敏感)
    • 実際のところ瞬時に異常検知できてる例はそんなにないのではないかと思ってる。
    Issuer
    (イシュア)
    オーソリ

    View full-size slide

  23. クレジットカードのセキュリティ
    • 対⾯決済時(本⼈確認)
    磁気
    ・署名
    カードへの署名とレシー
    トへの署名を⽐べて、利
    ⽤した店舗の従業員が本
    ⼈確認

    View full-size slide

  24. クレジットカードのセキュリティ
    • 対⾯決済時(本⼈確認)
    磁気
    ・署名
    カードへの署名とレシー
    トへの署名を⽐べて、利
    ⽤した店舗の従業員が本
    ⼈確認
    ・磁気ストライプはスキミングに⾮常に弱い
    ・署名の⾒⽐べで厳密に本⼈確認できない
    →不正利⽤が減らない
    ・セキュリティコード
    実は対⾯磁気決済時にもCVC1、CVV1と呼ばれる、セキュリティ
    コード(カード裏⾯のコードとは別物)が利⽤されるが、磁気ス
    トライプに記録されているためスキミングが簡単な現状意味をな
    していない。
    EC諸国を筆頭にICカードとPINの⼊⼒以外のクレジットカードを受
    け付けないような⾵潮になり、⽇本においてもICカードの発⾏を
    義務化。あのICカード化に消極的だったセゾンカードもICカードを
    発⾏することになった。
    →ということでクレカの⼤ICカード化時代に突⼊

    View full-size slide

  25. クレジットカードのセキュリティ
    • 対⾯決済時(本⼈確認)
    IC
    ・PIN
    あらかじめ⾃分で設定
    した暗証番号を⽀払い
    時に⼊⼒し本⼈認証

    View full-size slide

  26. クレジットカードのセキュリティ
    • 対⾯決済時(本⼈確認)
    IC
    ・PIN
    あらかじめ⾃分で設定
    した暗証番号を⽀払い
    時に⼊⼒し本⼈認証
    ・ICカードの耐タンパ性でスキミング困難
    ・セキュリティコード
    実は対⾯IC決済時にもiCVV、動的CVVと呼ばれる、電⼦的に⽣成し
    たセキュリティコード(カード裏⾯のコードとは別物)が利⽤さ
    れる。
    ApplePayやGooglePayが⾮接触決済を始めるが、独⾃路線派なVISA
    はプラスチックカードの新規発⾏時に⾮接触決済⽤のアンテナ
    (NFC決済)をつけることを義務化し、あのNFC対応カード発⾏に
    消極的だった楽天カード(VISA)も発⾏するようになる。(未だ
    に⽇本のApplePayではVISAの国際ブランド決済に⾮対応)
    →ということで⼤⾮接触IC化時代に突⼊
    と⾔いたいところだが⽇本を含め交通系ICや電⼦マネーで
    すでに決済の⾮接触IC化は進んでいたのであった。

    View full-size slide

  27. クレジットカードのセキュリティ
    • 対⾯決済時(本⼈確認)
    IC ⾮接触IC
    ・PIN
    あらかじめ⾃分で設定
    した暗証番号を⽀払い
    時に⼊⼒し本⼈認証
    ・カード
    利便性を⾼めるためカー
    ド所有による本⼈認証に
    とどめ、利⽤制限を少額
    にし不正対策
    ⾮接触IC(ApplePay)
    ・指紋、顔
    基本的に⾮接触ICと同様、
    ただし不正対策として指
    紋認証や顔認証で本⼈認

    View full-size slide

  28. クレジットカードのセキュリティ
    • 対⾯決済のトラストアンカー︓何を持って信⽤するか。
    IC ⾮接触IC
    ・PIN︓知識
    あらかじめ⾃分で設定
    した暗証番号を⽀払い
    時に⼊⼒し本⼈認証
    ・カード︓所有物
    利便性を⾼めるためカー
    ド所有による本⼈認証に
    とどめ、利⽤制限を少額
    にし不正対策
    ⾮接触IC(ApplePay)
    ・指紋、顔︓⽣体
    基本的に⾮接触ICと同様、
    ただし不正対策として指
    紋認証や顔認証で本⼈認

    View full-size slide

  29. クレジットカードのセキュリティ
    • ネット決済時
    セキュリティコード(CVC2、CVV2)
    ・ねらい
    カードの裏⾯にある3桁のコードを⼊⼒させる
    カード番号と有効期限だけで決済できないようにすることで不正利
    ⽤を防⽌

    View full-size slide

  30. クレジットカードのセキュリティ
    • ネット決済時
    セキュリティコード(CVC2、CVV2)
    ・ねらい
    カードの裏⾯にある3桁のコードを⼊⼒させる
    カード番号と有効期限だけで決済できないようにすることで不正利
    ⽤を防⽌
    ・問題点
    - Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号など
    とともに流出→現在は保存しないようにということにはなっている。
    - 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかった
    PayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/

    View full-size slide

  31. クレジットカードのセキュリティ
    • ネット決済時
    セキュリティコード(CVC2、CVV2)
    ・ねらい
    カードの裏⾯にある3桁のコードを⼊⼒させる
    カード番号と有効期限だけで決済できないようにすることで不正利
    ⽤を防⽌
    ・問題点
    - Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号など
    とともに流出→現在は保存しないようにということにはなっている。
    - 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかった
    PayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/
    →カード発⾏会社により⾼度な本⼈認証をしてもらおう︕

    View full-size slide

  32. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア

    View full-size slide

  33. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア
    3DのDは、領域(ドメイン)のD、

    View full-size slide

  34. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア
    3DのDは、領域(ドメイン)のD、2次元3次元のDではない。

    View full-size slide

  35. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上

    View full-size slide

  36. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    アクワイアラドメイン

    View full-size slide

  37. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    アクワイアラドメイン イシュアドメイン

    View full-size slide

  38. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    アクワイアラドメイン イシュアドメイン
    相互運⽤ドメイン

    View full-size slide

  39. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    (3)仮売上 (3)仮売上
    (3)仮売上
    (1)カード発⾏
    加盟店 カード会員
    (2)利⽤
    (6)請求
    (4)商品・サービスの提供
    (5)実売上
    (5)実売上 (5)実売上
    アクワイアラドメイン イシュアドメイン
    相互運⽤ドメイン
    3Dセキュアの基本的な仕組み
    カード会員と加盟店双⽅が、互いを確認し合うことができる

    View full-size slide

  40. クレジットカードのセキュリティ - 3Dセキュア
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    加盟店
    (2)オーソリ
    アクワイアラドメイン イシュアドメイン
    相互運⽤ドメイン
    カード会員
    (0)利⽤
    (1)決済
    要求
    (2)オーソリ
    イシュア
    管理サーバ
    (3)検証要求
    (4)検証応答
    (5-1)認証要求
    (5-2)認証要求 (6-1)認証応答
    (6-2)認証応答
    (7)決済
    完了

    View full-size slide

  41. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア
    ・ねらい
    カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め
    た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌

    View full-size slide

  42. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア
    ・ねらい
    カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め
    た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌
    ・問題点
    - 結局固定されたIDとPWなので流出した情報に弱い
    - 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯
    が表⽰されてしまう
    →不信感から購⼊を辞め、かご落ちする原因となる
    - モバイル環境からの利⽤にも互換性の問題など不都合が多い

    View full-size slide

  43. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア
    ・ねらい
    カードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決め
    た認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌
    ・問題点
    - 結局固定されたIDとPWなので流出した情報に弱い
    - 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯
    が表⽰されてしまう
    →不信感から購⼊を辞め、かご落ちする原因となる
    - モバイル環境からの利⽤にも互換性の問題など不都合が多い
    →SMSやアプリなどのワンタイムパスワード、さらにリスクベース認証
    にも対応させ、モバイル決済⽤のSDKも提供しよう︕

    View full-size slide

  44. クレジットカードのセキュリティ
    • ネット決済時
    3Dセキュア2.0

    View full-size slide

  45. クレジットカードのセキュリティ - 3Dセキュア2.0
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    加盟店
    (2)オーソリ
    アクワイアラドメイン イシュアドメイン
    相互運⽤ドメイン
    カード会員
    (0)利⽤
    (1)決済
    要求
    (2)オーソリ
    イシュア
    管理サーバ
    (3)認証要求・応答
    (6)結果応答・要求
    (4)チャレンジ
    要求
    (7)決済
    完了 (5)チャレンジ応答
    リスクベース認証
    ワンタイムパスワード

    View full-size slide

  46. クレジットカードのセキュリティ - 3Dセキュア2.0
    Acquirer
    (アクワイアラ)
    Brand
    (ブランド)
    Issuer
    (イシュア)
    加盟店
    (2)オーソリ
    アクワイアラドメイン イシュアドメイン
    相互運⽤ドメイン
    カード会員
    (0)利⽤
    (1)決済
    要求
    (2)オーソリ
    イシュア
    管理サーバ
    (3)認証要求・応答
    (6)結果応答・要求
    (4)チャレンジ
    要求
    (7)決済
    完了 (5)チャレンジ応答
    リスクベース認証
    ワンタイムパスワード
    3Dセキュア2.0
    ・シームレスに煩わしい認証の回数を抑えて決済可能
    ・フリクションレス・フロー

    View full-size slide

  47. クレジットカードのセキュリティ
    • ネット決済時(本⼈確認)
    セキュリティコード 3Dセキュア
    ・コード
    カードに表記された
    コードを⼊⼒させるこ
    とで不正対策
    ・パスワード
    あらかじめ設定したパス
    ワードを⼊⼒させること
    で不正対策
    3Dセキュア2.0
    ・リスクベース認証
    ワンタイムパスワード
    いつもと違う環境か、そうでなければ
    ワンタイムパスワードを送信し⼊⼒さ
    せることで不正対策

    View full-size slide

  48. クレジットカードのセキュリティ
    • ネット決済のトラストアンカー︓何を持って信⽤するか
    セキュリティコード 3Dセキュア
    ・コード︓所有物
    カードに表記された
    コードを⼊⼒させるこ
    とで不正対策
    ・パスワード︓知識
    あらかじめ設定したパス
    ワードを⼊⼒させること
    で不正対策
    3Dセキュア2.0
    ・リスクベース認証︓ふるまい・環境
    ワンタイムパスワード︓所有物
    いつもと違う環境か、そうでなければ
    ワンタイムパスワードを送信し⼊⼒さ
    せることで不正対策

    View full-size slide

  49. おまけ ISO20022
    • 次世代クレカ決済プロトコル
    • ISO8583
    • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まってい
    るような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖

    • ISO20022、nexo
    • 「ISO8583」のような、PSP(ペイメント・サービス・プロバイダー)とアクワイアラ(加盟
    店開拓事業者)との通信の再定義を含む公開された決済電⽂プロトコル
    • 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユース
    ケースや認証分野を広くカバーしている。
    • Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navi
    https://paymentnavi.com/paymentnews/102294.html

    View full-size slide

  50. おまけ ISO20022
    • 次世代クレカ決済プロトコル
    • ISO8583
    • 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まってい
    るような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖

    • ISO20022、nexo
    • 「ISO8583」のような、PSP(ペイメント・サービス・プロバイダー)とアクワイアラ(加盟
    店開拓事業者)との通信の再定義を含む公開された決済電⽂プロトコル
    • 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユース
    ケースや認証分野を広くカバーしている。
    • XMLのルールで作成されている︕︕
    • Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navi
    https://paymentnavi.com/paymentnews/102294.html

    View full-size slide

  51. まとめ
    • クレジットカード決済のセキュリティ技術について簡単にまとめた。
    • セキュリティと利便性のトレードオフが垣間⾒えた。
    • ただ決済のセキュリティについての詳細な規格のドキュメント(ISOや
    JISやRFCなどの)が2⽇間軽く調べた感じだといい感じなのが⾒つからな
    かったので、詳しい⼈いたら教えて下さい︕
    • ノーキャッシュレス・ノーライフ︕

    View full-size slide

  52. 参考⽂献
    • カード決済業務のすべて – GitHub Gist
    https://gist.github.com/gushernobindsme/9e80606cbf01117b143a7ae8d97c5483
    • クレジットカードの通信プロトコル ISO8583 と戦う – Speaker Deck
    https://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u
    • ISO 8583 – Wikipedia
    https://ja.wikipedia.org/wiki/ISO_8583
    • 3Dセキュア認証 – GPayments
    https://www.gpayments.com/jp/about/3d-secure/
    • 3Dセキュア2.0による強⼒なeコマースの不正防⽌ - GPayment
    https://www.gpayments.com/jp/about/3d-secure-2.0/
    • 3DSecure2
    https://3dsecure2.com/jp/
    • ISO-20022の概要 – ⽇本銀⾏
    https://www.boj.or.jp/paym/iso/isotc68/data/1ISO20022gaiyo.pdf

    View full-size slide

  53. 宣伝
    • セキュリティごった煮ブログ(https://note.com/lacnote/)

    View full-size slide

  54. 宣伝
    • 最新の記事(2/26現在)

    View full-size slide

  55. Thank you. Any Questions?
    ※この講演における発⾔及び資料の内容は、個⼈の⾒解を含んでいます。
    それらは、所属する企業や団体を代表するものではありません。
    〜備えあれば憂いなし〜

    View full-size slide