クレジットカードのセキュリティコード、数秒で割り出せるシステム開発

taraiok曰く、　Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している（Independent、Slashdot、ExtremeTech）。

　論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10～20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。

　また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。

　研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

　研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 2016年09月27日
コンビニATMで偽造カードが一斉に使用される事件、総額14億円以上が不正に引き出される 2016年05月23日
暗唱番号認証を無効化するよう改造されたクレジットカードが確認される 2015年10月23日
横浜銀行委託先社員がカードを偽造、数千万円を不正に引き出す事件が発覚 2014年02月05日
NTTデータの委託社員、職務上得た情報で偽造カードを作り逮捕 2012年11月27日