PayPayを悪用したカード不正利用の仕組み

PayPayから注意喚起

PayPayは、2018年12月14日にクレジットカードの不正利用に関する告知を出した。

身に覚えのないクレジットカードの請求がきたら
https://www.paypay-corp.co.jp/notice/20181214/01/

被害者となり得る人はPayPayに登録していない

この注意喚起から読み取ると、
  • PayPayに登録していない(した覚えのない)クレジットカードに対しての喚起
  • PayPay自身からは情報流出していない
という告知である。
PayPayの利用者でない人に対する告知であるというなかなか如何し難い状況ではあるが、一体何が起こっているか。

実際に起っていること

12月12日くらいからTwitterなどでは

  • クレジットカード会社からPayPay利用(数万単位から限度額いっぱいまでの高額請求まで)に関する確認があり、即刻カード利用の停止の処置をした
  • クレジットカード会社によると、「総当たりによるもの」という見解が示された
  • ほとんどの人がそのカードでPayPayを利用したことがない
という未確認情報が飛んでいたわけだが、それが今回の告知でPayPay公式から、全くのデマではなく、事実として起こっていると認めざるを得ない状況であることが示されたことになる。

登録が簡単すぎる問題

PayPayで登録する時の情報は、以下の情報が必要だ。
  • クレジットカード番号
  • 利用期限年月
  • セキュリティコード
インターネットショッピングなどでは、更に名義人も求められる場合が多いが、PayPayではそれがない。
なお、これ自体は、クレジットカード会社の仕様ともいえるので、必ずしもPayPayだけが悪いとは言い切れない。(他のクレジットカードを登録するアプリでも、名義人を求めるものとPayPayと同様求めないものがあった)

セキュリティーコードとはなんですか?

登録に制限がなさすぎる問題

また、PayPayの登録には、失敗による回数制限がないとの指摘がされている。
ニュースサイトでは、実際にPayPayアプリから実行してみたところ、何度も試行することができたという情報があるので、試行限度がなく、実質的にすべてのパターンを試行することができると考えられる。

ねとらぼ - PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も

総当たりによるもの、とはなにか

これらから、類推すると、何らかの方法で番号が割れているクレジットカード番号に対する総当たり攻撃、といえる。
単純な総当たり攻撃ならば、カード番号16桁+年月4桁+セキュリティコード3桁=23桁の組み合わせで可能と言える。ただ、23桁だと10の23乗通りなので、流石に途方もない数値になるので実質的に不可能と言える。
(クレジットカード番号は、16桁すべてがランダムに使われるというわけではないのだが、ここでは割愛する)

クレジットカード番号16桁がわかっているならば、年月4桁+セキュリティコード3桁の7桁(1千万回)の試行で済むといえる。
もし、年月もわかっている場合は、セキュリティコードの3桁のみで良いので、1千回の試行でよいと言える。1千回ならば、手入力でも1,2時間もあれば全試行可能だろう。

おそらく、現実的な手法としては、不正に取得されたクレジットカード番号に対し、年月+セキュリティコードを、エミュレータなどで半自動的に入力を行っているのではないだろうか。1千万回程度であれば、自動化できるなら現実的な時間で判読可能だろう。

対応策は?

残念ながら、「クレジットカード番号を知られないようにする」という方法しかない。
ただ、クレジットカード会社はこの状況を把握シているようだし、同様の手口が見られた場合には、確認の連絡があるうえでカードを止めてくれるだろう。
自身でも、カード明細などを確認して不正利用がないか逐一確認することが良いと言える。

誰が対応するべきか?

まずは、PayPay。
登録時の情報に名義人を増やしたり、そうでなくとも、登録時の試行回数を制限するべきだ。10回程度の制限でもつければ、総当たり攻撃は防ぐことが十分に可能だろう。

クレジットカード会社は苦しいところだ。
カード番号、年月、セキュリティコードで売買が確定できる仕様を変更することはあまりに影響範囲が広すぎるのでできない。だからこそ、不正利用時の確認+カード停止という手法で対策を打っているわけで、それを信頼するしかない。

販売店は高額利用時の本人確認を行うことだろう。もっともこれは、件の100億円キャンペーンの結果、店頭のオペレーションが有耶無耶になっていることは想像に難くない。

そしてこれは、PayPayの登録時の問題を標的にされていることは事実だが、問題の本質はカード決済そのものの仕組みを利用された攻撃であるという理解が必要だ。
ゆえに、対象はカード利用者全員が気をつけなければならないし、今回の攻撃に限らず発生し得る話であることは、カード利用をする限り十分理解しなければならない。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む