12/07/2016

クレジットカードへの分散型推測攻撃

シュナイアーのブログより

研究者らはクレジットカード番号のセキュリティ情報の推測を警告を引き起こさないよう複数のウェブサイトに広げることで推測できることを発見した

ニュース記事より:

コンピュータサイエンスの大学で博士課程の学生であるモハメッド・アリは次のように述べている:「この種の攻撃はそれ自体がそれほど深刻ではない2つの弱点を悪用するが、一緒に使われると決済システム全体に深刻なリスクをもたらす。」

「第一に、現行のオンライン決済システムは異なるウェブサイトからの複数の無効な支払い要求を検知しない。」

これは各ウェブサイトで許容される試行回数(通常10〜20回)を利用して、各カードのデータフィールドを無制限に推測することができる。

「第二に、異なるウェブサイトはオンライン購入を検証するためにカードのデータフィールドで異なるバリエーションを求める。これは情報を作り上げ、ジグソーパズルのように組み合わせることが非常に簡単であることを意味する。」

無制限の推測とは、支払いデータフィールドのバリエーションと組み合わせると、攻撃者が全てのカード情報を1フィールドずつ生成するのは驚くほど簡単である。

生成されたカードフィールドは次のフィールドを生成するために引き続き使用することができる。ヒットが十分にウェブサイトに広がっていれば、オンライン決済と同じように2秒以内に各問い合わせに対する肯定応答を受信できる。」

「そのため、最初の6桁が明らかにならない場合でも、銀行とカードのタイプが分かれば、一つのプロバイダの全てのカードで同じなので、ハッカーは少なくとも6秒以内にオンライン購入が可能な3つの重要な情報を入手できる。」

それはカード番号、有効期限、そしてCVVコードである。

論文より:

概要: この論文はクレジットやデビットカードを使う現行方式のオンライン決済と、決済サイトの運用方法の違いによって引き起こされる内部のセキュリティ問題に関して広範囲な研究を述べる。我々は、Alexaのトップ400のオンラインショップの決済サイトを調査し、現在の状況は分散型推測攻撃を容易にすることに気付いた。この攻撃は、カード情報を検証する本来の目的の支払い機能を覆し、オンライン取引きを行うために必要となる全てのセキュリティデータフィールドを生成するのに役立てている。全ての決済サイトが同じセキュリティチェックを行えば、この攻撃が実用的ではないことを示す。責任ある開示基準の一環として、我々が見つけたものについて決済サイトの選択に気付き、それらの応答を報告する。我々は、様々な技術的・ビジネス上の関係者の懸念を前提として、問題への可能な解決策、これらの実行することが実際には難しいことを議論する。

BoingBoingの投稿:

研究者らは、先月テスコ銀行に対する鮮やかなハッキングの一環として、この方法がすでに出回って使用されていると考えている。
MasterCardは複数のウェブサイトに分散していても推測を検知するので、このハッキングの影響を受けない。Visaはそうではない。

スラド