クレジットカード情報を6秒で推測する手口が見つかる、英銀行へのサイバー攻撃に利用か

クレジットカード番号と有効期限、セキュリティコードの情報をわずか6秒で推測できるという「分散型推測攻撃」の手口を英国の研究者が発表した。現在のところ、この攻撃が通用するのはVISAカードのみだという。

» 2016年12月06日 07時56分 公開
[鈴木聖子ITmedia]
photo クレジットカードの決済に必要な情報がわずか6秒で推測できる方法が見つかったという

 英ニューキャッスル大学の研究チームは12月2日(現地時間)、インターネットのクレジットカード決済に必要なカード番号と有効期限、セキュリティコードの情報をわずか6秒で推測できてしまう攻撃方法を見付けたと発表した。

 研究チームはこの手口を「Distributed Guessing Attack」(分散型推測攻撃)と命名。英国では11月に、Tesco銀行の顧客を狙ったサイバー攻撃で総額250万ポンド(約3億6000万円)が盗まれる事件が発生しており、研究チームはこの事件で使われたのが推測攻撃の手口だったとみている。

 発表によると、研究チームはVISAカードの決済システムの脆弱性を突き、カードのデータについてあらゆる組み合わせを自動的かつ体系的に生成して複数のWebサイトから試す方法を使ったところ、わずか数秒で「当たり」が出て、データを入手することができた。

photo 英ニューキャッスル大学のプレスリリース

 問題は、同社のオンライン決済システムが1つのカードに対して別々のWebサイトから来る複数の無効な決済リクエストを検出できない点にあるという。このため複数のWebサイトに分散させてリクエストを行えば回数制限なしに推測を試み続けることができ、大抵は10回〜20回でクレジットカードのデータを推測できたとしている。

 カードを発行している銀行とカードの種類を表す最初の6ケタさえ分かっていれば、この攻撃を通じてカード番号と有効期限、セキュリティコードという3つの情報を入手して、インターネットでの買い物に使用できてしまうと研究者は報告。この攻撃に使った2件の脆弱性は「それぞれの重大性はそれほど高くないが、組み合わせて使えば決済システム全体に深刻なリスクをもたらす」と解説している。

 現在のところ、この攻撃が通用するのはVISAカードのみで、MasterCardでは10回足らずの試みで推測攻撃が検出されたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ