クレジットカードを不正利用された話

by Tomohiko Morita

Slide 1

Slide 1 text

TOMOHIKO MORITA #sosaisec / /

Slide 2

Slide 2 text

背景インターネット上のセキュリティ脅威－クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

Slide 3

Slide 3 text

 不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

Slide 4

Slide 4 text

タイムライン  年月カード情報流出？  年月初不正利用の発生  年月中カード会社から緊急電話  年月不正利用キャンセルや返金

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

不正請求万円の内訳 AMAZON 件円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY など Google 件円  GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件円  FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫円  PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間件明細ページ

Slide 7

Slide 7 text

内訳： Googleアプリの悪用？  同時期に複数の被害報告  Google Midas という謎の決済情報  1ドル×40連打  少額送金アプリや投げ銭？？ https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だがミダス：触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま

Slide 8

Slide 8 text

内訳： Facebookって有料だっけ？  答えは、ゲーム課金

Slide 9

Slide 9 text

内訳：レンタル倉庫で足が付く！  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

Slide 10

Slide 10 text

海外旅行では気を付けよう

Slide 11

Slide 11 text

スキミング被害？  NO！もっと簡単

Slide 12

Slide 12 text

そもそも、決済に必要な要素って？ クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認多くのネットショッピングにおいて必要なのは、たったこれだけ

Slide 13

Slide 13 text

攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却するネット決済に必要な情報後日、不正利用

Slide 14

Slide 14 text

対策？物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

Slide 15

Slide 15 text

まとめ 教訓： ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓：内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる！怪しげなお店では現金がBetter 教訓：大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応

Slide 16

Slide 16 text

参考攻撃事例：分散型推測攻撃 総当たり攻撃対策、決済に 10～20回失敗するとそれ以降STOP 多数のECサイトを使えば、ほぼ無制限に試行可能 クレジットカード番号と有効期限が分かっている場合、数秒でセキュリティコードを割り出すことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号〇有効期限〇ｾｷｭﾘﾃｨｺｰﾄﾞ？ｾｷｭﾘﾃｨｺｰﾄﾞ=XXX センター問合せ多数のECサイト

Slide 17

Slide 17 text

参考攻撃事例：サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影すると、どの数字を押したかは一目瞭然 盗難から身を守る方法は、暗証番号入力時は他のキーに指を置いておく https://gigazine.net/news/20140901-steal-atm-pin-codes/

Slide 18

Slide 18 text

参考攻撃事例： NFCの中継攻撃 10cm程度の至近距離でデータ通信する無線通信であるNFC 他人のカードのNFCを読み取り、NFCプロキシツールをにより遠隔で悪用 https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf

Slide 19

Slide 19 text

参考攻撃事例： QRコードすり替え 中国の市場で、モバイル決済のためのQRコードが何者かに貼り替えられる 店主ではなく泥棒の口座に入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

Slide 20

Slide 20 text

フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html