クレジットマスターの特殊な脅威: NECセキュリティブログ

Tweet
Share

2024年12月13日

NECサイバーセキュリティ戦略統括部　セキュリティ技術センターの杉本です。
今回は、クレジットカードを不正利用する攻撃の一つであるクレジットマスターについてお話します。

クレジットマスターとは

クレジットマスター（クレジットマスターアタック）とは、クレジットカードを不正利用する行為の一種です。クレジットカードの番号を総当たり的に自動生成してショッピングサイトの決済時に入力し、有効なクレジットカード番号が発見できればそのカードで不正利用するという攻撃手法です。攻撃手法としては非常に古典的ですが、近年その数が急上昇しているというデータもあり、注意が必要です new window [1]。
急上昇しているといっても、最近のショッピングサイトでは「14~16桁のカード番号+有効期限+3~4桁のシークレットコード」を入力することが当たり前となっていることもあり、直感的には総当り数が途方もない数になり到底成功しないと思えるかもしれません。しかし、実はクレジットカードの番号には規則性があり、16桁のカードの場合は1~6桁目はカード会社を識別するための番号、7~16桁目がカード毎に異なるユニークな番号（16桁目はチェックディジット）となっています。また、有効期限に関しても長くて5年なので12×5=60通りしかなく、実際の総当り数は約130億通りです。それでもまだ総当り数としては多く、「セキュリティ対策をしているショッピングサイトなら総当たりしているうちにbotだと判定されてクレジットマスターは成功しないだろう」と思われるかもしれません。それでは、次の章でセキュリティ対策を実施しているショッピングサイトでも注意が必要なクレジットマスターの特殊な脅威をお話します。

クレジットマスターの特殊な脅威

一般的なサイバー攻撃と比較してクレジットマスターは何が特殊なのか、それは「番号特定と不正利用が独立している」「入力回数の制限だけでは防げない」という点です。

カード番号特定と不正利用が独立している

クレジットマスターは大きく

総当たりによるカード番号の特定
特定したカード番号での不正利用

の2段階に分かれます。しかし、この2つは完全に独立しているため、両方を同じショッピングサイトで実施する必要はありません。つまり、bot対策の甘いショッピングサイトでカード番号を特定し、それをbot対策実施済みのショッピングサイトで利用することも可能だということです。これにより、bot対策を実施しているショッピングサイトでも不正利用の被害に遭う可能性があるため注意が必要です。

世界中のショッピングサイトで並列的に総当たりを試行可能

クレジットマスターの基本的な攻撃手法は総当たりによるカード番号の特定であると聞くと、パスワードの総当たり攻撃（ブルートフォースアタック）と同じように一定時間あたりのカード番号の入力回数を制限すれば防げるのではないかと思われるかもしれません。しかし、クレジットマスターでは入力回数の制限を実施したとしても攻撃が成功する可能性があります。それは、パスワードが特定のシステム固有の情報であるのに対し、カード番号は世界中のショッピングサイトで共通的に利用可能な情報であることに起因します。ブルートフォースアタックの場合、パスワードはそのシステム固有の情報なので、入力回数の制限に引っかかってしまったら、それが解除されるまで攻撃を続行することは出来ません。しかし、クレジットマスターの場合は入力回数の制限に引っかかってしまっても別のショッピングサイトで入力を続行することが可能です。つまり、世界中のショッピングサイトに対して並列的に総当たりを試行することで、入力回数を制限されていたとしても短時間で大量に試行回数を稼いで攻撃成功確率を高めることが可能となります。更にショッピングサイト側から見ても、数回カード番号の入力を失敗して諦めた顧客にしか見えないので攻撃自体も検知されづらいという点もクレジットマスターの脅威です。

クレジットマスターの対策

先述の通りクレジットマスターは、総当たりによるカード番号特定とカードの不正利用の2段階に分かれています。そのため総当たりによるカード特定を防ぐための対策と、カードの不正利用を防ぐための対策を両方実施することが大切です。

総当たり攻撃対策

カード番号を特定するための総当たり攻撃対策としては入力回数の制限に加え、Google reCAPTCHAなどのbot対策導入が有効です。ただし、クレジットマスターがreCAPTCHAを突破したという事例もあるため PDF [2]、過信はせずにbot判定の閾値設定や追加対策をしっかり検討しましょう。

不正利用対策

実際に漏洩してしまったクレジットカード番号が不正利用されてしまう対策例としては、クレジットカードの追加認証システムである「EMV 3-Dセキュア」の導入が有効です。追加認証で本人確認することにより、漏洩したクレジットカード番号が不正利用されることを防ぎます。EMV 3-Dセキュアについては別の記事でもご紹介しています[3]。

まとめ

今回はクレジットマスターについてご紹介しました。ショッピングサイトのセキュリティ対策が甘いと不正利用被害に遭うだけではなく、他サイトでの不正利用の足がかりになってしまう可能性があることを知っていただければと思います。

参考文献

[1]
クレジットマスターアタック（大量アタック）被害が急増！21年比で上半期の被害件数が年間約109倍ペースで上昇
https://prtimes.jp/main/html/rd/p/000000047.000035938.html
[2]
「野村乳業工場直送健康便」における第三者による商品の不正購入事象についてのご報告
https://www.nomura-milk.co.jp/topics/y2024/%E7%AC%AC%E4%B8%89%E8%80%85%E3%81%AB%E3%82%88%E3%82%8B%E5%95%86%E5%93%81%E3%81%AE%E4%B8%8D%E6%AD%A3%E8%B3%BC%E5%85%A5%E4%BA%8B%E8%B1%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%AE%E3%81%94%E5%A0%B1%E5%91%8A.pdf
[3]
クレジットカード決済の認証サービス「3-Dセキュア」の思わぬ落とし穴
https://jpn.nec.com/cybersecurity/blog/240426/index.html

執筆者プロフィール

杉本　元輝（すぎもと　げんき）
セキュリティ技術センター　実装技術レギュレーションチーム

社内SEへのセキュア開発推進・技術支援やセキュリティ研修の講師に従事。
堅牢化コンテスト「Hardening 2020 Business Objectives」グランプリ受賞。
「Hardening 2023 Business Generatives」MVV受賞。
CISSP、情報処理安全確保支援士を所持。