Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クレジットカードを不正利用された話

Avatar for Tomohiko Morita Tomohiko Morita
August 08, 2018
Technology
0
1.5k

 クレジットカードを不正利用された話

総関西サイバーセキュリティLT大会(第10回)~総サイLT大会~
の発表資料です
#sosaisec
https://sec-kansai.connpass.com/

Avatar for Tomohiko Morita

Tomohiko Morita

August 08, 2018
Tweet

More Decks by Tomohiko Morita

See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
Avatar for Tomohiko Morita deka_morita
0
310
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
Avatar for Tomohiko Morita deka_morita
0
980
ガンダム × ネーミング
Avatar for Tomohiko Morita deka_morita
0
740
ガンダム勉強会@関西アンケート集計
Avatar for Tomohiko Morita deka_morita
0
800
ガンダム勉強会@サイド2開催にあたって
Avatar for Tomohiko Morita deka_morita
0
690
物理なポチポチ操作自動化
Avatar for Tomohiko Morita deka_morita
1
290
まじめな技術者のためのWEBフィルタリング回避術
Avatar for Tomohiko Morita deka_morita
1
1.2k

Other Decks in Technology

See All in Technology
VPCエンドポイント意外とお金かかるなぁ。せや、共有したろ!
Avatar for tommy tommy0124
1
630
Claude Code 2026年 最新アップデート
Avatar for Oikon oikon48
13
10k
AWS CDK「読めるけど書けない」を脱却するファーストステップ
Avatar for Makky12 smt7174
3
130
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
Avatar for Masahiko Ebisuda ebibibi
0
130
VLAモデル構築のための AIロボット向け模倣学習キット
Avatar for Ken Matsui kmatsuiugo
0
160
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
13
8.2k
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
Avatar for kota2and3kan kota2and3kan
0
120
OSC仙台プレ勉強会 AlmaLinuxとは
Avatar for koedoyoshida koedoyoshida
0
170
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
Avatar for Kazuto Kusama jacopen
5
3.3k
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
330
AI駆動AI普及活動 ~ 社内AI活用の「何から始めれば?」をAIで突破する
Avatar for oracle4engineer oracle4engineer
PRO
1
100
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
16
410k

Featured

See All Featured
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
480
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
210
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
120
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.8k
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
250
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
83
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
260
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
440
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.1k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
410

Transcript

  1. TOMOHIKO MORITA #sosaisec / /

  2. 背景 インターネット上のセキュリティ脅威 -クレジットカードの不正利用ー https://www.ipa.go.jp/security/vuln/10threats2018.html http://www.itmedia.co.jp/news/articles/1805/10/news062.html

  3.  不正利用のタイムライン  不正利用の履歴  どこで、どう漏れたか  事件からの教訓

  4. タイムライン  年 月 カード情報流出?  年 月初 不正利用の発生 

    年 月中 カード会社から緊急電話  年 月 不正利用キャンセルや返金
  5. None

  6. 不正請求 万円の内訳 AMAZON 件 円  AMAZON MKTPLACE(AMZN.COM/CH) 19595.00 JPY

    など Google 件 円  GOOGLE *MIDAS(GOOGLE.COM/CH) 99JPY など FACEBK 件 円  FACEBK *X4AU75SBV2(WWW.FB.ME/CC) 2.00 USD など レンタル倉庫 円  PUBLIC STORAGE 25735(NORTHLASVEG) 178.00 USD 日間 件 明細 ページ

  7. 内訳 : Googleアプリの悪用?  同時期に複数の被害報告  Google Midas という謎の決済情報 

    1ドル×40連打  少額送金アプリや投げ銭?? https://productforums.google.com/forum/#!topic/webmasters/dUIyOppIv3c ちなみに関係あるかどうかは不明だが ミダス:触ったものをすべて黄金に変える能力を持つギリシャ神話の王さま

  8. 内訳 : Facebookって有料だっけ?  答えは、ゲーム課金

  9. 内訳 :レンタル倉庫で足が付く!  PUBLIC STORAGE 25735(NORTHLASVEG)  オンラインで申し込んでも、荷物は実在。出張先の近くだ

  10. 海外旅行では気を付けよう

  11. スキミング被害?  NO! もっと簡単

  12. そもそも、決済に必要な要素って? クレジットカード本体(磁気/IC読み取り) クレジットカード番号 有効期限とセキュリティコード 署名・サイン 暗証番号 本人確認 多くのネットショッピングにおいて 必要なのは、たったこれだけ

  13. 攻撃シナリオの推定 レストランなどでカード利用をする ユーザが店員にカードを預ける 店員がバックヤードでカード決済をおこなう 店員がバックヤードでクレジットカードの表・裏を写メる 店員がユーザにカードを返却する ネット決済に 必要な情報 後日、不正利用

  14. 対策? 物理的な方法 セキュリティシール・開封防止シールを貼る セキュリティコードを隠す セキュリティコードは暗記する

  15. まとめ 教訓 : ITセキュリティも大事だが、まずは物理セキュリティ クレジットカードの物理的な自衛が必要 教訓 : 内部犯行も考慮した、セキュリティ脅威分析は必須 日常にひそむ脅威を、日頃から妄想し、対策を打とう 悪い人もいる!怪しげなお店では現金がBetter

    教訓 : 大手クレジットカード会社のサービスの信頼性 アラート報告、カードのロック、後日の返金、カード交換など素早い対応

  16. 参考 攻撃事例 : 分散型推測攻撃 総当たり攻撃対策、決済に 10~20回失敗するとそれ以 降STOP 多数のECサイトを使えば、ほ ぼ無制限に試行可能 クレジットカード番号と有効期

    限が分かっている場合、数秒 でセキュリティコードを割り出す ことが可能 https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/ カード番号 〇 有効期限 〇 セキュリティコード ? セキュリティコード=XXX センター問合せ 多数のECサイト

  17. 参考 攻撃事例 : サーモグラフィで暗証番号推定 赤外線サーモグラフィで撮影 すると、どの数字を押したか は一目瞭然 盗難から身を守る方法は、 暗証番号入力時は他の キーに指を置いておく

    https://gigazine.net/news/20140901-steal-atm-pin-codes/

  18. 参考 攻撃事例 : NFCの中継攻撃 10cm程度の至近距離で データ通信する無線通信で あるNFC 他人のカードのNFCを読み 取り、NFCプロキシツールを により遠隔で悪用

    https://www.defcon.org/images/defcon-20/dc-20-presentations/Lee/DEFCON-20-Lee-NFC-Hacking.pdf

  19. 参考 攻撃事例 : QRコードすり替え 中国の市場で、モバイル決 済のためのQRコードが何者 かに貼り替えられる 店主ではなく泥棒の口座に 入金されてしまう http://www.chinanews.com/sh/2017/07-25/8287110.shtml

  20. フォント   http://www.fontna.com/blog/1706/ クレジットカードの番号のフォント  http://force4u.cocolog-nifty.com/skywalker/2010/07/ocrfarrington7b.html