Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クレジットカードを不正利用された話
Search
Tomohiko Morita
August 08, 2018
Technology
1.6k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
クレジットカードを不正利用された話
総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/
Tomohiko Morita
August 08, 2018
More Decks by Tomohiko Morita
See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
deka_morita
0
370
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
1k
ガンダム × ネーミング
deka_morita
0
770
ガンダム勉強会@関西アンケート集計
deka_morita
0
810
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
710
物理なポチポチ操作自動化
deka_morita
1
320
まじめな技術者のためのWEBフィルタリング回避術
deka_morita
1
1.4k
Other Decks in Technology
See All in Technology
cccccc
moznion
0
1.8k
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.4k
Making sense of Google’s agentic dev tools
glaforge
1
130
DMM.com 購入改善推進チーム におけるCodeRabbitを用いた レビューフロー改善の一例
ysknsid25
2
570
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
4.5k
ローカルLLMとLINE Botの組み合わせ その3 / LINE DC Generative AI Meetup #8
you
PRO
0
130
AIレビューはどこまで任せられるのか?自動化と人が背負うレビューの境界
sansantech
PRO
1
160
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
190
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
13
5.7k
しくみを学んで使いこなそう GitHub Copilot app
torumakabe
1
150
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
250
脱金融のフューチャー・デザイン / Future Design Beyond Finance
ks91
PRO
0
140
Featured
See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
1k
Music & Morning Musume
bryan
47
7.3k
Tell your own story through comics
letsgokoyo
1
990
Facilitating Awesome Meetings
lara
57
7k
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
290
The Curse of the Amulet
leimatthew05
2
13k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
410
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Transcript
TOMOHIKO MORITA #sosaisec / /
背景 インターネット上のセキュリティ脅威 -クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html
不正利用のタイムライン 不正利用の履歴 どこで、どう漏れたか 事件からの教訓
タイムライン 年 月 カード情報流出? 年 月初 不正利用の発生
年 月中 カード会社から緊急電話 年 月 不正利用キャンセルや返金
None
不正請求 万円の内訳 AMAZON 件 円 AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY
など Google 件 円 GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件 円 FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫 円 PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間 件 明細 ページ
内訳 : Googleアプリの悪用? 同時期に複数の被害報告 Google Midas という謎の決済情報
1ドル×40連打 少額送金アプリや投げ銭?? https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だが ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま
内訳 : Facebookって有料だっけ? 答えは、ゲーム課金
内訳 :レンタル倉庫で足が付く! PUBLIC STORAGE 25735(NORTHLASVEG) オンラインで申し込んでも、荷物は実在。出張先の近くだ
海外旅行では気を付けよう
スキミング被害? NO! もっと簡単
そもそも、決済に必要な要素って? クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認 多くのネットショッピングにおいて 必要なのは、たったこれだけ
攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却する ネット決済に 必要な情報 後日、不正利用
対策? 物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する
まとめ 教訓 : ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる!怪しげなお店では現金がBetter
教訓 : 大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応
参考 攻撃事例 : 分散型推測攻撃 総当たり攻撃対策、決済に 10~20回失敗するとそれ以 降STOP 多数のECサイトを使えば、ほ ぼ無制限に試行可能 クレジットカード番号と有効期
限が分かっている場合、数秒 でセキュリティコードを割り出す ことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号 〇 有効期限 〇 セキュリティコード ? セキュリティコード=XXX センター問合せ 多数のECサイト
参考 攻撃事例 : サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影 すると、どの数字を押したか は一目瞭然 盗難から身を守る方法は、 暗証番号入力時は他の キーに指を置いておく
https://gigazine.net/news/20140901-steal-atm-pin-codes/
参考 攻撃事例 : NFCの中継攻撃 10cm程度の至近距離で データ通信する無線通信で あるNFC 他人のカードのNFCを読み 取り、NFCプロキシツールを により遠隔で悪用
https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf
参考 攻撃事例 : QRコードすり替え 中国の市場で、モバイル決 済のためのQRコードが何者 かに貼り替えられる 店主ではなく泥棒の口座に 入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml
フォント http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html