TOPマネジメント > Visaカードの有効期限やセキュリティコードを数秒で割り出す...

マネジメント

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」

2016/12/06

Peter Sayer IDG News Service

 「サイトごとの試行回数に上限があったとしても、多数のサイトに試行を分散すれば、実質的に上限なしで推測を行える」と研究チームの論文にはある。論文の執筆者は、Mohammed Aamir Ali氏、Budi Arief氏、Martin Emms氏、Aad van Moorsel氏だ。

 論文のタイトルは「Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?」という。このタイトルが示すとおり、研究チームが投げかけたのは、現在ネット上で使われているカード決済の仕組みが、図らずも詐欺を手助けしているのではないかという疑問である。

 この疑問に対して研究チームが出した答えは、少なくとも米Visaのクレジットカードに関してはまさにその通り、というものだった。Visaカードでは、不足しているカード情報を、分散型推測攻撃の手法で割り出すことができた。

 一方、米MasterCardのクレジットカードは、決済ネットワークのシステムが一元化されていることから、同一のカードに関する推測を複数のサイトに分散したとしても、試行が10回足らずの段階で分散型推測攻撃を検知された。

 研究チームは、米Alexa Internetのランキングで訪問者が多い上位400サイトのうち、389のサイトを対象に調査を行った。このうち、分散型推測攻撃を防御できる本人認証システム「3Dセキュア」を導入しているサイトは47にとどまった。

 最も弱い環と言えるのは、カード番号と有効期限だけで決済できる26のサイトだった。このうち20のサイトは、少なくとも6回の試行が可能で、限られた数の情報を割り出すには十分な余裕があった。

 また、カード番号のほかに有効期限とセキュリティコードを必要とするサイトは291あった。このうち238のサイトは、6回以上の試行を認めており、セキュリティコードを簡単に割り出すことができた。

↑ページ先頭へ