Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」

　分散処理を活用することで高速化できる作業はいろいろあるが、クレジットカード詐欺もその1つであることが分かった。英ニューカッスル大学の研究チームが、多数のeコマースサイトに対する分散処理でカード情報を割り出す手法を考案し、調査結果を論文として発表した。

Credit: Peter Sayer

　eコマースサイトの決済でクレジットカードを使う時には、カード番号に加えて、有効期限やセキュリティコード（CVV：Card Verification Value）などの情報を入力する必要がある。通常、こうしたカード情報の入力を10～20回も間違えるとブロックされるので、一部のカード情報が不明な状態で詐欺を働くことは簡単ではない。

　だが、ネット上にeコマースサイトは山ほどある。そこで、指定する情報を少しずつ変えた決済要求を多数のサイトに向けて一斉に送るという方法を使えば、不明なカード情報を割り出すことが可能だ。

　研究チームはこの手法を「分散型推測攻撃」と呼んでいる。不明なカード情報の割り出しにかかる時間は6秒足らずだという。

　正当なカードの有効期限をこの方法で割り出すことは、さほど面倒ではない。通常、発行されたカードの使用可能期間は長くても5年（60カ月）である。したがって、有効期限の指定内容を1カ月ずつ変えた60件の決済要求を、複数のサイトに向けて送れば、その中のいずれか1件が承認され、正しい有効期限が判明する。また、3桁のセキュリティコードを割り出すのはもう少し厄介だが、1000件の要求を複数のサイトに送れば遂行できる。

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜