クレジットカード情報わずか6秒で推測可能?英研究チームが発表
クレジットカード情報わずか6秒で推測可能?英研究チームが発表
オンラインショッピングなどでクレジットカード決済をおこなう場合、クレジットカード番号と有効期限、セキュリティコードなどのカード情報を入力する方法が一般的です。オンラインでのクレジットカード決済が広まるにつれ、カード情報が盗用され、第三者のなりすましによる不正利用の被害も増加傾向にあります。
カード情報が盗用される原因としては、これまでにもフィッシングサイトやスキミング、不正アクセスによる情報流出などが知られていますが、このたび、英国の研究チームが新たな情報盗用の攻撃方法を発見したことを発表しました。わずか6秒で必要な情報が推測されてしまう可能性があるという手口について、どのようなものなのかを見ていきましょう。
わずか6秒で有効なカード情報が推測される!?
クレジットカード情報が盗まれる可能性のある新たな方法を指摘したのは、英国ニューキャッスル大学の研究チームです。
これは、自動的にカード番号を生成するbotを用いて、まずはあてずっぽうで有効なカード番号を見つけ、その番号で複数のサイトに対して有効期限やセキュリティコードを試すというもの。この方法を用いることで、最短わずか6秒ほどで有効なクレジットカード情報をすべて入手できてしまったというのです。
研究チームは、この攻撃を「Distributed Guessing Attack(分散型推測攻撃)」と呼んでいます。英国では昨年11月にハッカー集団がテスコ銀行の顧客9000人の口座から総額250万ポンド(約3億6000万円)を盗み出す事件が発生していますが、この事件で使われたのが推測攻撃であったと考えられています。
Visaカードのシステムの脆弱性を突いた攻撃
この推測攻撃は、Visaカードの決済システムの脆弱性を突いたもので、MasterCardでは同様の方法は通用しないことがわかっています。
Visaカードのオンライン決済システムは、現状、一つのカードに対していくつかのサイトからの無効なリクエストを検出できません。
ハッカーがVisaカードの決済システムに対して、複数のサイトから分散させてリクエストをおこなうことで、実質的に回数無制限で推測を試み続けることができてしまうのです。そして研究チームによれば、およそ10回から20回のあてずっぽうのリクエストで、有効なクレジットカードデータを推測することができたとのことです。
ちなみにMasterCardのシステムでは、別々のサイトからのリクエストでも、およそ10回程度で攻撃が検出されたようです。
Visaカードの決済システムの対応が待たれますが、Visaカードの利用者は、自分のカードの利用状況などを常に確認し、不審な利用がないか十分に注意するのが大切だと言えそうです。
高セキュアな決済システムは「サブスクペイ」にお任せ!
また、決済連動の顧客管理データベースにより、ファンクラブ会員、メール会員、有料コンテンツ会員など、あらゆる会員管理業務に最適な機能を備えたソリューションを提供。利用状況の見える化で単価アップや解約防止に寄与するとともに、顧客属性・行動情報・売上予測の見える化によってネクストアクションの策定・投資判断などにお役立ていただけます。
さらには、業界最安水準の手数料2.65%~、顧客管理と決済処理をひとつのクラウドに集約したことによる間接費の削減により、導入するだけでコストダウンを実現できます。
なお、気になる対応決済手段についても、クレジットカード決済・口座振替・銀行振込・バーチャル口座・コンビニ決済など幅広く搭載。顧客に合わせた柔軟な課金モデルの設計が可能です。決済代行会社の安全なサーバー内に顧客情報を預けて管理するため、導入事業者様の情報管理負担、セキュリティ負担も解消します。
これまで株式会社ROBOT PAYMENTは、決済代行業として20年以上にわたり、決済代行事業を行ってまいりました。サブスクペイは大手から中小、個人事業主まで累計14,000社以上の導入実績があり、年間500億円以上の取引に活用いただいております。決済導入フローについても、審査提出から最短5営業日で稼働が可能です。
オンライン決済の導入やサブスクリプションビジネスにおける顧客管理・課金設計などにお悩みのご担当者様は、株式会社ROBOT PAYMENTの「サブスクペイ」までお気軽にご相談ください。
