noteが不正入手クレカの有効性チェックに利用されているらしいという噂の件
こういう観点って性善説じゃ防げないですよね。
利便性をとるのか、それとも犯罪者に加担しないシステムを作るのかは、結構悩ましいところです。
noteに起きてる不正入手クレカの有効性確認って?
☑︎ noteから情報が漏洩しているわけではない
☑︎ 不正入手したクレジットカードが本当に使えるカードなのか、noteで決済して確認している犯罪者がいるらしい
不正入手したカードをnoteで決済して不正利用している犯罪者がいるらしいと噂になっているようです。
アジア系のカード詐欺師、noteでカードの有効性チェックしてるみたい。 pic.twitter.com/LbI2NKJTWZ
— 𝐂𝐡𝐞𝐞𝐧𝐚 🕵 (@cheenanet) May 3, 2021
不正入手されたクレジットカードの有効性確認にnoteが悪用されているらしく、理由調べてみたけど納得だわ。
— あかんやつマン🥦 (@kabuakan) May 5, 2021
記事を購入するときに会員登録不要で、すぐクレジットカード入力→有効性チェックができるからそりゃ悪用されるわって感じ。 pic.twitter.com/2Ramtgvk1C
ただこのくらいクレジットカード与信・決済周りが緩いサービスは他にもあるだろうし、目に付きやすいnoteが選ばれたのかなって感じ。エンジニアはこういう部分の対策にも気を配らないとですね。
— あかんやつマン🥦 (@kabuakan) May 5, 2021
これはnoteからカード情報が漏洩しているわけではなく、カード決済の仕組みを利用して、決済できる=カードが生きているというチェックに使われています。
これで生きていると確認されたカードは、大規模な不正利用に晒されることになります。
実は近年、クレジットマスターと呼ばれる、自動的にクレジットカードの番号を大量生成して、決済にかけることで使えるカードを割り出す攻撃が流行っていて、noteがそれに利用されているのでは?という疑惑があったということです。
念のため、noteがチェックしたところ、クレジットマスターに遭った形跡はないようです。
ご指摘ありがとうございます。調査の結果、直近で大規模なカード確認数・エラー数の変動、海外からの高頻度アクセス等は確認されませんでしたが、ご指摘を踏まえ、念の為いくつか強化施策を検討いたします。
— note (@note_PR) May 6, 2021
第三者診断や、不正検知・認証システム導入は実施済みですが、引き続き強化していきます。
なお、添付されていた画像は約1年前の旧画面となります。また、もしほかにもお気づきのことがあれば、こちらからご連絡いただけますと幸いです。https://t.co/ySBaWNqSVw
— note (@note_PR) May 6, 2021
どうやら1年ほど前からnoteはチェックされていた模様?
(クレジットマスターは2019年から再び流行っているようなので、計算は合いますね)
今すぐnoteをやめた方が良いかと言われるとそうではありませんが、最近のnote社はなにかと炎上しがちなので、気分が良くない事は確かです。
再び流行り始めたクレジットマスター
☑︎ クレジットカード番号の規則性に基づいて、大量に番号を生成する
☑︎ 生成した番号で決済をかけ、生きているカードを特定(有効性確認)
☑︎ 有効性が確認されたカードは、そのまま使われたり、リストにして売られたりする
☑︎ 2000年代に流行って一時期沈静化したものの、2019年辺りから再び流行り出した
クレジットマスター(英語: Credit Master)とは、クレジットカードの番号の規則性を悪用し、クレジットカード番号にある計算を加えて、他人のカード番号を割り出す手口である[1][2]。
クレジットカード番号は規則性があるため、規則さえ分かっていれば、番号を大量に作り出す事は可能です。
そして、出来上がったリストをもとに、順繰りに決済を繰り返していけば、使えるカードの一覧を手に入れることができます。
ちなみに2000年代半ばぐらいから流行り、一時期は古い手法として沈静化していたものの、2019年頃から再び流行り出したみたいです。
どういったサービスが狙われやすいのか
☑︎ 会員登録が不要
☑︎ 少額決済ができる
☑︎ 機械的な入力に対してチェックをしていない
☑︎ 有効性確認を視野に入れた対策がされていない
実は、このクレジットカード有効性確認というのは、noteだけではなく、通販サイトなどクレジットカード決済ができるサービスでは少なからず狙われています。
なるほど。少額決済が可能で現物が発生しない点も踏み台にしたい側には都合がいいな
— ぽっちー (@pochi_m) May 6, 2021
ちなみに、私は「海外のゲーム購入サイトで決済があったのですが心当たりがありますか?」とクレカ会社から電話がかかってきたことがある(流出元も心当たりあり)。似たようなところが狙われるのだなと https://t.co/2o6MON5vzl
会員登録不要のサービスは、当然ですが手間が少なく済み、メアドや住所など証拠の数が少なくなるため狙われやすくなります。
そして、あまりに金額が大きいと不正利用を疑われてしまうため、なるべく少額で決済できるサービスが好まれます。
特に、実際に品物をやり取りするわけではないサービスが手頃で良いという感じでしょうか。
(品物をやりとりするサービスの場合、住所などが必要になるので)
さらに、有効性確認される前提で対策がとられていない(間違ったとしてもカード入力し放題)サービスは特に狙われやすいです。
主な対策
☑︎ オーソリゼーションに失敗できる回数に上限を付ける
☑︎ reCaptureなどの画像認証によるセキュリテツールを実装
☑︎ 3Dセキュア認証支援サービスの導入
中々有効な対策が取りづらいものの、機械的な入力を弾くだけでも効果はあるはず。
クレジットカード決済をする際、「オーソリゼーション」と呼ばれる認証行為をおこなうのですが、これの失敗回数が無制限な状態だと、機械的な入力をしても困らないので、クレジットマスターなどの攻撃に晒されやすくなります。
失敗回数を上限を設けて、規制を超えた場合は決済させない仕組みが導入しやすく楽な対策でしょう。
また、人力の入力は防げませんが、画像認証などの認証サービスを追加することで、機械的な入力を邪魔して被害を少なくする方法もあります。
メジャーなクレジットカードだと、3Dセキュア(VISA、Mastercard、JCB、AMEXが推奨する本人認証サービス)があるので、これを導入するのも手です。
クレジットカード番号や有効期限の他に、別途IDやパスワードを要求されるため、クレジットマスターの対策がしやすくなります。
まとめ
☑︎ noteは会員登録不要で少額決済ができるため狙われた?
☑︎ 最低でもオーソリゼーションの回数制限が必要
☑︎ 利便性は落ちるものの、対策しなければサービスイメージが落ちる
2000年代半ばに流行って廃れたらしいクレジットマスター、近年流行り出しているのは、サービスの立ち上げが容易になってきた事で、対策の甘いサイトが増えたからかな〜と思います。
時にnoteはIPアドレス流出の件で、穴があると思われて狙われたんじゃないか…という気もしますね。
最近、問題が山積しているnote社ですが、早々に対応される予定みたいなので、公式アナウンスが待たれるところです。
参考資料
🌷使っていただいたお金は、本や、資材購入に当てられます🌹