29SEC〜肉節句〜 2021 OnlineでのLTスライドです。 https://passmarket.yahoo.co.jp/event/show/detail/01iyxn11h3epj.html
クレジットカードのセキュリティ2021/02/26井上 佳祐29SEC〜⾁節句〜 2021 Online情報セキュリティの⽕を絶やさないイベント
View Slide
whoami /all• Username• いのうえ けいすけ• Hobby• 海外旅⾏• クレジットカード• Group• 株式会社ラック(since 2019, 社会⼈2年⽬)デジタルペンテストサービス部• Certification• PADI Open Water Diver• Registered Information Security Specialist (No.019097)• Certified Red Team Professional(CRTP)
【CRTP取得奮闘記】WindowsADセキュリティ資格を攻略してみた︕https://note.com/lacnote/
今⽇のはなし
今⽇のはなしクレジットカード決済
今⽇のはなしクレジットカード決済にはどんなセキュリティがあるの︖
アジェンダ• クレジットカードのエコシステム• クレジットカードの決済フロー• ISO8535• クレジットカードのセキュリティ• 対⾯決済• ネット決済• ISO20022• まとめ
クレジットカードのエコシステムAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)アライアンス アライアンス加盟店契約 カード会員契約加盟店 カード会員カード利⽤ / 商品・サービスの提供
クレジットカードのエコシステムAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)アライアンス アライアンス加盟店契約 カード会員契約加盟店 カード会員カード利⽤ / 商品・サービスの提供加盟店の開拓共通プラットフォーム(Visa, JCB…など)の提供カード会員の開拓
クレジットカードの決済フローAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上
クレジットカードの決済フローAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上仮売上︓オーソリゼーション(与信、オーソリ)
クレジットカードの決済フローAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上実売上︓クリアリング(売上確定)
クレジットカードのプロトコル(ISO8583)Acquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上ISO8583(3)仮売上ISO8583(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上
クレジットカードのプロトコル(ISO8583)• ISO8583、、、をベースにしたプロコトル• それぞれの会社ごとにプロトコルの喋り⽅が若⼲ことなる。• 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まっているような感じ。• TCP/IP→ISO8583 - Wikipediahttps://ja.wikipedia.org/wiki/ISO_8583• 詳しくは、バンドルカードでおなじみのカンム社のスライドがおもしろい。→クレジットカードの通信プロトコルISO8583と戦う – Speaker Deckhttps://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u
クレジットカードのセキュリティ• ネットおよび対⾯決済• 異常検知• オーソリの内容や直近のトランザクション関係を精査• 下記のような場合オーソリを拒否、最悪カードを⼀時利⽤停⽌• 普段使わないようなところ(海外サイト、オンラインゲーム)での購⼊• 普段使わない⾦額(少額決済しかしない⼈が⾼額決済)での購⼊• サブスクへの登録• 不正利⽤の多い使い⽅• 電⼦マネーへの⾼額連続チャージ(JCBカードが割と敏感)• 実際のところ瞬時に異常検知できてる例はそんなにないのではないかと思ってる。Issuer(イシュア)オーソリ
クレジットカードのセキュリティ• 対⾯決済時(本⼈確認)磁気・署名カードへの署名とレシートへの署名を⽐べて、利⽤した店舗の従業員が本⼈確認
クレジットカードのセキュリティ• 対⾯決済時(本⼈確認)磁気・署名カードへの署名とレシートへの署名を⽐べて、利⽤した店舗の従業員が本⼈確認・磁気ストライプはスキミングに⾮常に弱い・署名の⾒⽐べで厳密に本⼈確認できない→不正利⽤が減らない・セキュリティコード実は対⾯磁気決済時にもCVC1、CVV1と呼ばれる、セキュリティコード(カード裏⾯のコードとは別物)が利⽤されるが、磁気ストライプに記録されているためスキミングが簡単な現状意味をなしていない。EC諸国を筆頭にICカードとPINの⼊⼒以外のクレジットカードを受け付けないような⾵潮になり、⽇本においてもICカードの発⾏を義務化。あのICカード化に消極的だったセゾンカードもICカードを発⾏することになった。→ということでクレカの⼤ICカード化時代に突⼊
クレジットカードのセキュリティ• 対⾯決済時(本⼈確認)IC・PINあらかじめ⾃分で設定した暗証番号を⽀払い時に⼊⼒し本⼈認証
クレジットカードのセキュリティ• 対⾯決済時(本⼈確認)IC・PINあらかじめ⾃分で設定した暗証番号を⽀払い時に⼊⼒し本⼈認証・ICカードの耐タンパ性でスキミング困難・セキュリティコード実は対⾯IC決済時にもiCVV、動的CVVと呼ばれる、電⼦的に⽣成したセキュリティコード(カード裏⾯のコードとは別物)が利⽤される。ApplePayやGooglePayが⾮接触決済を始めるが、独⾃路線派なVISAはプラスチックカードの新規発⾏時に⾮接触決済⽤のアンテナ(NFC決済)をつけることを義務化し、あのNFC対応カード発⾏に消極的だった楽天カード(VISA)も発⾏するようになる。(未だに⽇本のApplePayではVISAの国際ブランド決済に⾮対応)→ということで⼤⾮接触IC化時代に突⼊と⾔いたいところだが⽇本を含め交通系ICや電⼦マネーですでに決済の⾮接触IC化は進んでいたのであった。
クレジットカードのセキュリティ• 対⾯決済時(本⼈確認)IC ⾮接触IC・PINあらかじめ⾃分で設定した暗証番号を⽀払い時に⼊⼒し本⼈認証・カード利便性を⾼めるためカード所有による本⼈認証にとどめ、利⽤制限を少額にし不正対策⾮接触IC(ApplePay)・指紋、顔基本的に⾮接触ICと同様、ただし不正対策として指紋認証や顔認証で本⼈認証
クレジットカードのセキュリティ• 対⾯決済のトラストアンカー︓何を持って信⽤するか。IC ⾮接触IC・PIN︓知識あらかじめ⾃分で設定した暗証番号を⽀払い時に⼊⼒し本⼈認証・カード︓所有物利便性を⾼めるためカード所有による本⼈認証にとどめ、利⽤制限を少額にし不正対策⾮接触IC(ApplePay)・指紋、顔︓⽣体基本的に⾮接触ICと同様、ただし不正対策として指紋認証や顔認証で本⼈認証
クレジットカードのセキュリティ• ネット決済時セキュリティコード(CVC2、CVV2)・ねらいカードの裏⾯にある3桁のコードを⼊⼒させるカード番号と有効期限だけで決済できないようにすることで不正利⽤を防⽌
クレジットカードのセキュリティ• ネット決済時セキュリティコード(CVC2、CVV2)・ねらいカードの裏⾯にある3桁のコードを⼊⼒させるカード番号と有効期限だけで決済できないようにすることで不正利⽤を防⽌・問題点- Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号などとともに流出→現在は保存しないようにということにはなっている。- 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかったPayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/
クレジットカードのセキュリティ• ネット決済時セキュリティコード(CVC2、CVV2)・ねらいカードの裏⾯にある3桁のコードを⼊⼒させるカード番号と有効期限だけで決済できないようにすることで不正利⽤を防⽌・問題点- Webサイト側に保存されたコードや脆弱性の悪⽤でカード番号などとともに流出→現在は保存しないようにということにはなっている。- 3桁の数字ゆえ、総当たりする攻撃者と総当たりに気づけなかったPayPayというサービスも存在:https://paypay.ne.jp/notice/20181227/01/→カード発⾏会社により⾼度な本⼈認証をしてもらおう︕
クレジットカードのセキュリティ• ネット決済時3Dセキュア
クレジットカードのセキュリティ• ネット決済時3Dセキュア3DのDは、領域(ドメイン)のD、
クレジットカードのセキュリティ• ネット決済時3Dセキュア3DのDは、領域(ドメイン)のD、2次元3次元のDではない。✕
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上アクワイアラドメイン
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上アクワイアラドメイン イシュアドメイン
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上アクワイアラドメイン イシュアドメイン相互運⽤ドメイン
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)(3)仮売上 (3)仮売上(3)仮売上(1)カード発⾏加盟店 カード会員(2)利⽤(6)請求(4)商品・サービスの提供(5)実売上(5)実売上 (5)実売上アクワイアラドメイン イシュアドメイン相互運⽤ドメイン3Dセキュアの基本的な仕組みカード会員と加盟店双⽅が、互いを確認し合うことができる
クレジットカードのセキュリティ - 3DセキュアAcquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)加盟店(2)オーソリアクワイアラドメイン イシュアドメイン相互運⽤ドメインカード会員(0)利⽤(1)決済要求(2)オーソリイシュア管理サーバ(3)検証要求(4)検証応答(5-1)認証要求(5-2)認証要求 (6-1)認証応答(6-2)認証応答(7)決済完了
クレジットカードのセキュリティ• ネット決済時3Dセキュア・ねらいカードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決めた認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌
クレジットカードのセキュリティ• ネット決済時3Dセキュア・ねらいカードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決めた認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌・問題点- 結局固定されたIDとPWなので流出した情報に弱い- 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯が表⽰されてしまう→不信感から購⼊を辞め、かご落ちする原因となる- モバイル環境からの利⽤にも互換性の問題など不都合が多い
クレジットカードのセキュリティ• ネット決済時3Dセキュア・ねらいカードの利⽤明細を⾒るときのIDとPWなどあらかじめユーザが決めた認証情報を⽤いて認証を⾏うことで、不正利⽤を防⽌・問題点- 結局固定されたIDとPWなので流出した情報に弱い- 通販の画⾯とは違うサイトにパスワードを⼊⼒するよう促す画⾯が表⽰されてしまう→不信感から購⼊を辞め、かご落ちする原因となる- モバイル環境からの利⽤にも互換性の問題など不都合が多い→SMSやアプリなどのワンタイムパスワード、さらにリスクベース認証にも対応させ、モバイル決済⽤のSDKも提供しよう︕
クレジットカードのセキュリティ• ネット決済時3Dセキュア2.0
クレジットカードのセキュリティ - 3Dセキュア2.0Acquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)加盟店(2)オーソリアクワイアラドメイン イシュアドメイン相互運⽤ドメインカード会員(0)利⽤(1)決済要求(2)オーソリイシュア管理サーバ(3)認証要求・応答(6)結果応答・要求(4)チャレンジ要求(7)決済完了 (5)チャレンジ応答リスクベース認証ワンタイムパスワード
クレジットカードのセキュリティ - 3Dセキュア2.0Acquirer(アクワイアラ)Brand(ブランド)Issuer(イシュア)加盟店(2)オーソリアクワイアラドメイン イシュアドメイン相互運⽤ドメインカード会員(0)利⽤(1)決済要求(2)オーソリイシュア管理サーバ(3)認証要求・応答(6)結果応答・要求(4)チャレンジ要求(7)決済完了 (5)チャレンジ応答リスクベース認証ワンタイムパスワード3Dセキュア2.0・シームレスに煩わしい認証の回数を抑えて決済可能・フリクションレス・フロー
クレジットカードのセキュリティ• ネット決済時(本⼈確認)セキュリティコード 3Dセキュア・コードカードに表記されたコードを⼊⼒させることで不正対策・パスワードあらかじめ設定したパスワードを⼊⼒させることで不正対策3Dセキュア2.0・リスクベース認証ワンタイムパスワードいつもと違う環境か、そうでなければワンタイムパスワードを送信し⼊⼒させることで不正対策
クレジットカードのセキュリティ• ネット決済のトラストアンカー︓何を持って信⽤するかセキュリティコード 3Dセキュア・コード︓所有物カードに表記されたコードを⼊⼒させることで不正対策・パスワード︓知識あらかじめ設定したパスワードを⼊⼒させることで不正対策3Dセキュア2.0・リスクベース認証︓ふるまい・環境ワンタイムパスワード︓所有物いつもと違う環境か、そうでなければワンタイムパスワードを送信し⼊⼒させることで不正対策
おまけ ISO20022• 次世代クレカ決済プロトコル• ISO8583• 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まっているような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖↓• ISO20022、nexo• 「ISO8583」のような、PSP(ペイメント・サービス・プロバイダー)とアクワイアラ(加盟店開拓事業者)との通信の再定義を含む公開された決済電⽂プロトコル• 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユースケースや認証分野を広くカバーしている。• Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navihttps://paymentnavi.com/paymentnews/102294.html
おまけ ISO20022• 次世代クレカ決済プロトコル• ISO8583• 構造化データになっておらず、それぞれ意味を持つテキストがオフセットごとに決まっているような感じ。もともと電話線でやりとりしてたからサイズの問題とか︖↓• ISO20022、nexo• 「ISO8583」のような、PSP(ペイメント・サービス・プロバイダー)とアクワイアラ(加盟店開拓事業者)との通信の再定義を含む公開された決済電⽂プロトコル• 「ISO 20022」のほうが⾦融分野として広いが、「nexo」はカードや端末決済としてのユースケースや認証分野を広くカバーしている。• XMLのルールで作成されている︕︕• Fime Japan、クレジットカード決済の次世代プロトコル「nexo」について解説 - Payment navihttps://paymentnavi.com/paymentnews/102294.html
まとめ• クレジットカード決済のセキュリティ技術について簡単にまとめた。• セキュリティと利便性のトレードオフが垣間⾒えた。• ただ決済のセキュリティについての詳細な規格のドキュメント(ISOやJISやRFCなどの)が2⽇間軽く調べた感じだといい感じなのが⾒つからなかったので、詳しい⼈いたら教えて下さい︕• ノーキャッシュレス・ノーライフ︕
参考⽂献• カード決済業務のすべて – GitHub Gisthttps://gist.github.com/gushernobindsme/9e80606cbf01117b143a7ae8d97c5483• クレジットカードの通信プロトコル ISO8583 と戦う – Speaker Deckhttps://speakerdeck.com/hiroakis/kurezitutokadofalsetong-xin-purotokoru-iso8583-tozhan-u• ISO 8583 – Wikipediahttps://ja.wikipedia.org/wiki/ISO_8583• 3Dセキュア認証 – GPaymentshttps://www.gpayments.com/jp/about/3d-secure/• 3Dセキュア2.0による強⼒なeコマースの不正防⽌ - GPaymenthttps://www.gpayments.com/jp/about/3d-secure-2.0/• 3DSecure2https://3dsecure2.com/jp/• ISO-20022の概要 – ⽇本銀⾏https://www.boj.or.jp/paym/iso/isotc68/data/1ISO20022gaiyo.pdf
宣伝• セキュリティごった煮ブログ(https://note.com/lacnote/)
宣伝• 最新の記事(2/26現在)
Thank you. Any Questions?※この講演における発⾔及び資料の内容は、個⼈の⾒解を含んでいます。それらは、所属する企業や団体を代表するものではありません。〜備えあれば憂いなし〜
keisukeoni
hankehly
miyashino
linedevth
non97
line_developers
tmokmss
nrryuya
lmi
autifyhq
pingcap0315
yamahiro
kawagoi
quramy
revolveconf
colly
searls
thekraken
yeseniaperezcruz
sonatard
danielanewman
geoffreycrofte
bkeepers
morganepeng