TOPマネジメント > Visaカードの有効期限やセキュリティコードを数秒で割り出す...

マネジメント

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」

2016/12/06

Peter Sayer IDG News Service

 有効期限とセキュリティコードに加えて、カード利用者の郵便番号を必要とするサイトは25あった。だが、その郵便番号も推測できる場合があると研究チームは説明している。カード番号に組み込まれているコードから、発行元の金融機関を割り出したうえで、その支店所在地の近辺から郵便番号を推測するというものだ。郵便番号を決済に使うサイトの中には、郵便番号を推測するための試行回数に上限がないサイトが2つあった。

 研究チームは、サイト側が分散型推測攻撃の問題についてどの程度の懸念を示すかを確認するために、一部のサイトを対象として、この手法に関する情報の開示を行った。カード決済に必要な情報の数に応じて、サイトを3つのグループに分けたうえで、各グループで利用者数が多い順に12ずつ、計36のサイトに対して、この問題について連絡した。

 すると、36のうち28のサイトは、連絡から4週間以内に返信があり、そのうち8つは、情報漏えいのリスクを減らすための修正をサイトに加えた。修正の内容は、同じIPアドレスからの試行や同じカード番号に対する試行の繰り返しに制限を設ける、CAPTCHAを導入する、カード番号と有効期限以外に必要なカード情報を増やすなどだ。

 だが研究チームは、こうした修正策の有効性に疑問を呈し、試行回数に上限を設けないままでカード情報の項目を追加しても、新たな攻撃の糸口が増えるだけだと指摘している。CAPTCHAの導入や、試行繰り返しに対する制限も同様で、攻撃に要する時間が長くなるだけで、攻撃をやめさせる効果はなかった。修正を加えたサイトの中には、同一のカード番号に対する試行回数に絶対的な上限を設けたサイトはなかったとのことだ。

 結局のところ、クレジットカードの決済システムを分散型推測攻撃から守るには、MasterCardのようにシステムを一元化するか、カード決済の承認に使う項目がすべてのサイトで同じとなるように標準化するしか方法はない。そうすれば、攻撃のスケーリングは不可能になると研究チームは述べている。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ