クレジットカード情報わずか6秒で推測可能?英研究チームが発表
クレジットカード情報わずか6秒で推測可能?英研究チームが発表
オンラインショッピングなどでクレジットカード決済をおこなう場合、クレジットカード番号と有効期限、セキュリティコードなどのカード情報を入力する方法が一般的です。オンラインでのクレジットカード決済が広まるにつれ、カード情報が盗用され、第三者のなりすましによる不正利用の被害も増加傾向にあります。
カード情報が盗用される原因としては、これまでにもフィッシングサイトやスキミング、不正アクセスによる情報流出などが知られていますが、このたび、英国の研究チームが新たな情報盗用の攻撃方法を発見したことを発表しました。わずか6秒で必要な情報が推測されてしまう可能性があるという手口について、どのようなものなのかを見ていきましょう。
わずか6秒で有効なカード情報が推測される!?
クレジットカード情報が盗まれる可能性のある新たな方法を指摘したのは、英国ニューキャッスル大学の研究チームです。
これは、自動的にカード番号を生成するbotを用いて、まずはあてずっぽうで有効なカード番号を見つけ、その番号で複数のサイトに対して有効期限やセキュリティコードを試すというもの。この方法を用いることで、最短わずか6秒ほどで有効なクレジットカード情報をすべて入手できてしまったというのです。
研究チームは、この攻撃を「Distributed Guessing Attack(分散型推測攻撃)」と呼んでいます。英国では昨年11月にハッカー集団がテスコ銀行の顧客9000人の口座から総額250万ポンド(約3億6000万円)を盗み出す事件が発生していますが、この事件で使われたのが推測攻撃であったと考えられています。
VISAカードのシステムの脆弱性を突いた攻撃
この推測攻撃は、VISAカードの決済システムの脆弱性を突いたもので、MasterCardでは同様の方法は通用しないことがわかっています。
VISAカードのオンライン決済システムは、現状、一つのカードに対していくつかのサイトからの無効なリクエストを検出できません。
ハッカーがVISAカードの決済システムに対して、複数のサイトから分散させてリクエストをおこなうことで、実質的に回数無制限で推測を試み続けることができてしまうのです。そして研究チームによれば、およそ10回から20回のあてずっぽうのリクエストで、有効なクレジットカードデータを推測することができたとのことです。
ちなみにMasterCardのシステムでは、別々のサイトからのリクエストでも、およそ10回程度で攻撃が検出されたようです。
VISAカードの決済システムの対応が待たれますが、VISAカードの利用者は、自分のカードの利用状況などを常に確認し、不審な利用がないか十分に注意するのが大切だと言えそうです。
