クレジットカード情報を6秒で推測する手口が見つかる、英銀行へのサイバー攻撃に利用か
クレジットカード番号と有効期限、セキュリティコードの情報をわずか6秒で推測できるという「分散型推測攻撃」の手口を英国の研究者が発表した。現在のところ、この攻撃が通用するのはVISAカードのみだという。
英ニューキャッスル大学の研究チームは12月2日(現地時間)、インターネットのクレジットカード決済に必要なカード番号と有効期限、セキュリティコードの情報をわずか6秒で推測できてしまう攻撃方法を見付けたと発表した。
研究チームはこの手口を「Distributed Guessing Attack」(分散型推測攻撃)と命名。英国では11月に、Tesco銀行の顧客を狙ったサイバー攻撃で総額250万ポンド(約3億6000万円)が盗まれる事件が発生しており、研究チームはこの事件で使われたのが推測攻撃の手口だったとみている。
発表によると、研究チームはVISAカードの決済システムの脆弱性を突き、カードのデータについてあらゆる組み合わせを自動的かつ体系的に生成して複数のWebサイトから試す方法を使ったところ、わずか数秒で「当たり」が出て、データを入手することができた。
問題は、同社のオンライン決済システムが1つのカードに対して別々のWebサイトから来る複数の無効な決済リクエストを検出できない点にあるという。このため複数のWebサイトに分散させてリクエストを行えば回数制限なしに推測を試み続けることができ、大抵は10回〜20回でクレジットカードのデータを推測できたとしている。
カードを発行している銀行とカードの種類を表す最初の6ケタさえ分かっていれば、この攻撃を通じてカード番号と有効期限、セキュリティコードという3つの情報を入手して、インターネットでの買い物に使用できてしまうと研究者は報告。この攻撃に使った2件の脆弱性は「それぞれの重大性はそれほど高くないが、組み合わせて使えば決済システム全体に深刻なリスクをもたらす」と解説している。
現在のところ、この攻撃が通用するのはVISAカードのみで、MasterCardでは10回足らずの試みで推測攻撃が検出されたという。
関連記事
- 資生堂子会社に不正アクセス、個人情報42万人分が流出か
大手化粧品メーカー、資生堂の子会社「イプサ」の公式オンラインショップに、不正アクセスがあったことが発覚。最大で約42万人分の個人情報と、約5万件のクレジットカード情報が流出した可能性がある。 - ニューヨークのイベント会場システムに不正侵入、1年前からカード情報が流出
米マディソン・スクエア・ガーデンなどの決済システムが不正侵入され、来場者が使ったクレジットカードの情報が1年近くにわたって盗まれていたことが分かった。 - 簡単に使えるApple Pay、セキュリティは大丈夫?
iPhoneをかざすだけで電車に乗ったり、買い物ができるようになる「Apple Pay」。あまりに登録が簡単なので、驚いた人も多いのではないでしょうか。今回は、「簡単すぎてセキュリティが心配になった」人のために、どんなリスクがあるのか調べてみました。 - Acerの米通販サイトに不正アクセス、クレジットカード情報が流出
Acerの米通販サイトを利用した一部顧客のクレジットカード番号と有効期限および3けたのセキュリティコードが流出した可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.