【セキュリティ】セキュリティコードの意味を具体的に考察する


はじめに

ガスを安全に使うにも、電気製品を使うにも、料理するにも素材に関して、ある程度の知識が必要です。

同じように、ネットショップでクレジットカードもよく使います。

その時合わせてよく使う、大事なクレジットカードのセキュリティコードの意味を考えてみたいと思います。

(説明がしっかりしているサイトを見つけられなかったので

セキュリティコードとは

ページ下部のリンク先やWeb上のクレカ決済のページ説明にあるように、クレジットカード上の クレジットカード 番号とは別の印字された情報です。

何に使うか?

セキュリティなどは、対応策なので、何に使うかというよりもどういうリスクがあるかが先です。

リスク?

クレジットカードに伴うリスクを少し広めに考え、セキュリティコードの意義を考えてみたいと思います。

クレジットカードのリスクとは、もちろん他人に使われることです。

あまり考えたくないですが、どうしたら他人が使えるでしょうか?

クレジットカードの番号、名前、期限、セキュリティコードがあれば使えてしまうでしょう。さらに住所も念のためチェックしているところもあるようです。

  • クレジットカードの番号
  • 名前
  • 期限

実店舗

(リスク)カードを使用した時に、写真にとる。

→ (対策)裏面にセキュリティコードがあるので、両面とられなければ問題ない。ただし、両面とられたらアウト。

(リスク) カードの情報を使った偽造について

→ (対策) 磁気ストライプで対応→さらに磁気ストライプも偽造
→ (対策) ICチップで対応

2010年くらいには、磁気ストライプが危ないので、ICチップに移行することが推奨されてますね。

ICチップはそこに暗証番号領域があってもサーバで保存して今は使われていないようです。またチップから読み取れる情報だけではクレジットカードに必要な情報を素のまま利用できないとのこです。まあ、出来てしまうのであれば、なぜ磁気ストライプから変更したのか不明ですし、高額で導入したにもかかわらず、不正があったらカード会社が裁判で補償を求められるでしょう。

電子マネーのセキュリティ評価

http://www.net.c.dendai.ac.jp/~tachibana/INDEX.html

第3回 ICカードとセキュリティ

https://www.bcm.co.jp/site/security/security2-3.pdf

全銀協ICキャッシュカード標準仕様 | 決済システム等の企画・運営 | 一般社団法人 全国銀行協会

https://www.zenginkyo.or.jp/abstract/efforts/system/ic

ICカードをめぐる3つのセキュリティ要素 (1/3):ICカードの基礎知識(後編) - @IT

http://motivate.jp/archives/2005/02/post_18.htm

不正使用はどのようにして起きているのか? | カードセキュリティの基礎知識 | 安全・安心なクレジットカード取引への取組み | 一般社団法人日本クレジット協会

https://www.j-credit.or.jp/security/how.html

日本ICカードシステム利用促進協議会|ICカードQ&A
偽造やデータの抜き取りは不可能なのでしょうか?

https://www.jicsap.com/faq/qa/QA_304.htm

少し前は、コンビニの読み取り機に、スキャニングを取り付けられたこともありました。→その場合は、やはりICチップ (個人を特定する何らかの符号が間接に管理されてると思われる)+怪しい店で使わないぐらいしか対策がありません。

また、電子マネーも、満員電車内で、スキャニングされるという事件が一時期起きてました。電磁シールドを提起に挟むこと(定期に使っていると改札が面倒)で対応していたようです。

※FeliCaはそもそもクレジットカードやキャッシュカードではないので、番号が漏れてもお金のやり取りはできません。サーバとFeliCaチップが必要です。またNFCに似た技術なので、胸ポケットなどにくっつけないと見えません(レジでのちゃりーんをイメージしてもらえれば、どれだけ近いか想像できると思います)。見えてもスマホで読み取れるように、最近の履歴だけで、NWなしにお金の移動はまず起こりません。

高木浩光@自宅の日記 - ICカードの非接触スキミングですって? ええかげんなことぬかすな

http://takagi-hiromitsu.jp/diary/20050206.htm

武田圭史 » スキミングに関する噂

http://motivate.jp/archives/2005/02/post_18.html

JENS WeBlog

http://web.archive.org/web/20080605115413/http://www.we-blog.jp/sea/yossie/a0000139843.php

セキュリティコード 情報 自体は、チップに組込まれず、カード会社側でハッシュチェックのように使われてと思いますが、いずれにせよ他の人に セキュリティコード の情報は渡してはいけませんね。

もちろん、盗難・紛失には対応できません。

まあ、使うときはクレジットカードの裏を見せないようにしたいです。もちろんスキャン時に、裏まで盗撮されていたらどうしようもありませんが。

ネット上

使用直前

実際に使うときは、クライアントのユーザ側、大抵は chrome/firefoxのブラウザ側が信頼置けるかが重要です。マイナーなブラウザを使うと、仕込まれて情報が転送される恐れがあると思います。メジャーで信用のおけるブラウザを使う

また、クレカ情報や、クレカにアクセスするときの ID/パスワードを投入するときも、ブラウザ~サーバー間の盗聴防止のためhttpsであることの確認が大事です。

ちなみにhttpsといっても、通信先のサーバ(amazonとか)を信頼するかはあなた次第です。電子証明は、そこに書かれた団体が、申請した団体と間違いなく同じということを保証しているだけで、その団体がどういうものかは関知していません。

最近は a や o 1など微妙に変えた証明書やドメイン名がありますし、アルファベット以外の記号も使えるため、目視でもかなり難しいです。ショップに行くときは、常に同じリンクで、他のページやメールのリンクなどから飛ばないようにしたいです。(あんまりやれていないけど)

フィッシング詐欺(見た目が同じだがPW等入力させるための別の犯罪用サイト)や怪しいドメインに対して、対策をするとするならば、チェックを自分で入力したドメイン名とバイトレベルで一致具合を比較する(プログラムや excel等)で徹底的にやる方が考えられます。

フィッシング詐欺に対応するには、ユーザ側が対応しないとほとんどどうしようもありません(犯罪者に自分から直接教えてしまっているから)

使用後

また一度クレカ情報を入力した後は、サーバや決済会社に情報が残ることがあるので、気になる人は残さないようにするか、信頼できない会社ではクレカ決済をしないことをお勧めします(購入しないか、プリペイドなど他の決済方法を使う)

サーバーでは、クレカ情報やセキュリティコードは残さないのが一般的ですが、それができてないうえにサーバで暗号化されていなかったり、比較的自由に個人情報にアクセスできてしまうこともあります。

また最近では日本でも法律が厳しくなっており、
決済会社が PCI DSS準拠(wikipedia) に準拠するか、
ショップ側も決済会社に管理を任せる必要があります。

また、リプレイアタック、セッションハイジャック、XSSされないよう、決済用のセッション有効期間は短くし、ユーザIDから想像つかず、再利用しないようにし、ログイン時や決済時は妥当性の再確認がその都度必要です(IPアドレスや、PW、ログイン時間など)。

そして、一度のhttpアクセスで、決済しないように2画面以上遷移して、クレカ情報とセキュリティコード情報、決済内容を分けたほうが良いです。またユーザプロフィール画面でも、1度のアクセスで重要な情報にアクセスさせず、毎回2画面以上の遷移が必要なようにしておくのが重要です。

対応策のまとめ

サーバ構築側(ショップ)

クレカ情報とセキュリティコードは同じ画面で入力させない、httpsを導入、クレカ情報は基本的に管理しないで決済会社に任せる(購入率の低下は気になるかもしれません)などが必要だと思います。

  • セキュリティコードは同じ画面で入力させない
  • httpsを導入
  • クレカ情報は基本的に管理しないで決済会社に任せる

クレカ情報を保存するとしても、セキュリティコードは保存しない、ユーザの情報は暗号化し、FWをかけ、NW的隔離し アクセス権限の適切な管理をし、なおかつ、物理的に入室を隔離したりする必要があります。

使用者側

適切なブラウザを使い、クレカ情報を使うときは、イレギュラーなメールからのルートや、ほかのサイトのリンクを使わず、正しいサイトにアクセスし、URLを確認する。そして、PWやクレカ情報を使うときはhttpsになっているか、信頼できるショップかの確認は必要です。

  • しっかりしたルートでショップにアクセス
  • 決済時はURLとhttpsを確認
  • 信頼のおけるショップにのみ決済を使う

おわりに

セキュリティコードはあるといっても、ばれれば決済に使われ通ってしまいます。クレジットカード会社は信用や、取引をAI等で異常検知したりしてますが、やはりかなりリスキーで、クレカ情報を一部盗聴・盗撮・ショルダーハッキング(手元のPC入力をのぞき見)に多少効果があるぐらいかと思われます。

具体的内容のない"安全"という2文字で安心するんではなく
何が安全で、どれぐらいリスクなのか、
それぞれの対策でどこまで防げるのか考えて行動したいものです。

また、セキュリティ的に問題ない技術ややり方など、見逃している点があるよというのであれば、共有してもらえると助かります。

リンク

クレジットカードのセキュリティコードとは?ネットショッピングの安全性を守る仕組み|ネットECの基本|通販・ECの決済代行サービス|ヤマトフィナンシャル

https://www.yamatofinancial.jp/learning/payment/security_code.html

クレジットカードのセキュリティコード(CVV2/CVC2)とは | 決済代行のゼウス

https://www.cardservice.co.jp/service/creditcard/csc.html

参考

具体的な手順はわからないが、 乱数を使って、現存確認と、お互い相手の署名を確認し相互認証(一方方向ずつ電子署名確認)するとともに一時的な共通鍵を交換していると思われる。

ディフィー・ヘルマン鍵共有 - Wikipedia

事前の秘密の共有無しに、盗聴の可能性のある通信路を使って、暗号鍵の共有を可能にする暗号プロトコルである。この鍵は、共通鍵暗号方式の鍵として使用可能

認証手段を提供するものではないため、単独では中間者攻撃に対して脆弱

https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%95%E3%82%A3%E3%83%BC%E3%83%BB%E3%83%98%E3%83%AB%E3%83%9E%E3%83%B3%E9%8D%B5%E5%85%B1%E6%9C%89

PKI基盤と、 鍵交換 方式

公開鍵基盤 - Wikipedia

https://ja.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%8D%B5%E5%9F%BA%E7%9B%A4


Delicious にシェア
Digg にシェア
reddit にシェア
LinkedIn にシェア
LINEで送る
email this
Pocket

4 views.



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です