reynotch

reynotch

-
 英国ニューカッスル大学の研究者が学術誌に発表した情報によると、VISAのクレジットカードまたはデビットカードで決済に必要なカード番号、有効期限、セキュリティ・コードの情報をわずか6秒で推測可能とのこと。


Working out the card number, expiry date and security code of any Visa credit or debit card can take as little as six seconds and uses nothing more than guesswork, new research has shown.
Cyber attack - Press Office - Newcastle University



 上記サイトでは、実際にセキュリティ・コードを推測している動画が公開されています。



 発表によると、VISAのオンライン決済システムに欠陥があり、複数のWebサイトに分散させて照会することで回数制限を受けずに推測をすることができ、ほとんどの場合、10〜20回ほどで推測ができると説明しています。

 同研究者は、この推測手法を「Distributed Guessing Attack」(直訳すると分散型の推測攻撃)と呼んでおり、 カードを発行している銀行もしくはカードの種類を表す最初の6桁の数字のみで、カード番号、有効期限、セキュリティコードを推測可能とのこと。

 「Distributed Guessing Attack」が有効なのはVISAカードに対してのみで、MasterCardの場合は、10回未満の試行で「Distributed Guessing Attack」を検出するため、推測できないようです。


 11月に英国テスコ銀行で4万もの顧客口座がハッキングされた事件がありましたが、同研究者によるとこの事件でも「Distributed Guessing Attack」と同様の手法が使われた可能性があるとのこと。