CVVを含むクレジットカード情報は、ECサイトへの脆弱性攻撃など一般的なサイバー攻撃の手法でも盗まれている。特に最近の傾向としては、ECサイトを改ざんして、サイトの利用者が入力した情報を盗み出すプログラムや偽造ページを仕掛けたりと手の込んだ手法も用いられるようになってきた。しかしクレジットマスターなどを使い、カード番号が入手済みであれば、botを悪用しても比較的簡単にCVVの照合ができる。
わずか3桁の番号を割り出すのは、繰り返し処理を得意とするbotにとって朝飯前の作業だ。当初のPayPayアプリの実装のように、CVVの入力回数の制限を設け忘れているサイトやサービスは世界中に多数存在する。各カード番号に対応したCVVを照合するにはそれらのサイトを、botで千回総当たりすれば済む。図らずも今回のPayPayの事件が教訓となり、そのリスクの一端を一般の人も知ることとなった。
こうした「総当たり」を得意とするbotの特性は、CVVなどのクレジットカード認証の照合確認だけでなく、不正に入手した大量のIDとパスワードが、ECサイトなどで使い回しできるか否かの確認にも悪用されている。
昨年、日本でもパスワードリスト型攻撃による被害が立て続けに報じられた。5月には「セシールオンラインショップ」が1938件のログインの試行を受け、490件のアカウントで実際にログインされた。また、8月にはケイ・オプティコムの「mineo」会員サービス「eoID」が約126万回のログイン試行を受けて6458件のアカウントで不正ログインが行われ、NTTドコモのオンラインショップでも不正ログインを許した結果、「iPhone X」約1000台が不正に購入される被害が発生した。
その後も、四国電力の会員向けサービス「よんでんコンシェルジュ」、アプラスが提供する会員向けWebサービス「NETstation*APLUS」、電子マネー「smartWAONウェブサイト」、ローソンのポイントカード「おさいふPonta」と、なりすまし不正ログインに起因する実被害の報告が相次いでいる。
eoIDへのログイン試行回数の値からも想像できるように、こうした攻撃の各段階で、不正に入手したアカウントや認証情報が標的とするサイトでも使えるか確認するための「総当たり」作業をbotが担っているケースは多い。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR