ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

クレジットマスターの恐怖

hylomによる 2009年07月21日 14時33分の掲載
Business::CreditCard部門より。
セキュリティ

あるAnonymous Coward 曰く、

やや旧聞になるが、産経ニュースによると、クレジットカードの番号には特定の法則があり、正しいカード番号と有効期限が一組手に入ればその番号から同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ。

なぜカード番号と有効期限に法則性があるのか疑問だが、なんらかしらの事情があるのだろう。記事では「スーパーコンピュータを使って番号を作り直せばいいのでは」というカード会社関係者の話も載っているが……。

Internet Watchの記事によると、他人のクレジットカード明細書を盗み、明細書に記載されている一部がマスクされたカード番号から正しいカード番号を導出される事件も発生しているそうだ。

クレジットマスターの恐怖 | ログイン/アカウントの作成 | 80 個のコメント | コメント検索
表示オプション しきい値:

  • ユーザー数が少ない方が安全? (スコア:3, おもしろおかしい)

    duenmynoth (34577) : 2009年07月21日 15時24分 (#1608526) 日記
    > 正しいカード番号と有効期限が一組手に入ればその番号から
    > 同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ

    という事はビザよりマスターやJCBの方がまだ安全という事ですね

  • っつーか……… (スコア:3, すばらしい洞察)

    Anonymous Coward : 2009年07月21日 16時57分 (#1608623)

    三井住友VISAカード&三井住友マスターカード加盟店規約(通信販売[含EC]用) [smbc-card.com]を見る限り、

    第13条(信用販売の手順)
    1.加盟店は、前4条によりカードによる信用販売の申込みを受けたときは、申込書、申込受付
    書、申込みデータに基づき、遅滞なく全件について、当社の定める方法によりカード会員番号、
    カードの有効期限、売上債権額    、会員認証手続を実行したときはその結果等を当社に通知して、
    信用販売の承認を得るものとします。但し、当社より要求を受けた場合は、会員氏名等、その他
    の申込情報を通知するものとします。当社の承認が得られなかった場合はカードによる信用販売
    を行わないものとします。

    で、カードホルダーネームが原則が入ってないのがまずいんじゃないのか?

    新聞記事を見る限り、楽天はカード名義者が違っていても買えていたという報道あったし(ただ、カードの明細盗む手口だと無力だけど)。

  • 個人でも解読できます (スコア:2, おもしろおかしい)

    Anonymous Coward : 2009年07月21日 14時38分 (#1608472)

    ちょうど安いスパコンが発売されています [slashdot.jp]。数人解読すれば回収できるでしょう。

  • 0123-4567-8901-XXXX (スコア:2, 興味深い)

    lutero (1993) : 2009年07月21日 15時18分 (#1608524)

    同センターによると、瓜生容疑者は札幌市内のマンションの郵便受けなどから、番号の一部が伏せられたクレジットカード会社の明細書を盗み、
    記載されている12ケタの番号を特殊な計算式に当てはめて、残りの4ケタを割り出していた。

    12桁も晒して伏せてるのがたった4桁とか、さすがに元記事が間違ってることを祈りたいものだが…。
    ちなみに最初の4桁はカードの発行元と種類で固定なので、クレカ会社の明細だけで8桁は筒抜けになるのでご用心

    • 一部伏字の番号から、何等かの計算式で正しい番号を導き出すのは、有り得る気がする。

      でも、
      >> 正しいカード番号と有効期限が一組手に入れば
      >> その番号から同じ有効期限をもった実在する
      >> 他のカード番号をかなりの確率で生成でき
      たとして、card holderが判らんと思うのだけど

      名義人と、番号と、有効期限と、3桁の確認コードの全てが揃っていないと決済出来ないという訳では無いの?

      • Re:0123-4567-8901-XXXX (スコア:2)

        Kazsa (25846) : 2009年07月21日 18時00分 (#1608671) 日記

        カードの確認に、カード裏の確認コード (っていうんだっけ) を入力させる通販サイトもあるけど、そういったサイトをクラックして確認コードごとコピーされたら意味ないよなあといつも思うんですけど。
        普段店頭でしか使わないカードなら現実にカードを持っている確認にもなるんでしょうが、普段からネット使ってたら、どこかから漏れて使われたら同じなんじゃないかな。

        それはともかく、自分のカードは表のカード番号と裏の確認コードを暗記しちゃったから、カードが手元になくてもネット通販利用可能になっていたり。まったくなんていうセキュリティ。

      • Re:0123-4567-8901-XXXX by Anonymous Coward (スコア:1) 2009年07月21日 15時41分

    • Re:0123-4567-8901-XXXX (スコア:2, おもしろおかしい)

      Anonymous Coward : 2009年07月21日 16時00分 (#1608568)
      某サイトAの伏せ方
      0123-4567-8901-XXXX

      某サイトBの伏せ方
      XXXX-XXXX-XXXX-2345

      まぁ昔は丸見えだったりセキュリティコード不要だったりでしたからそれよりはマシでしょうけど。
    • Re:0123-4567-8901-XXXX by Anonymous Coward (スコア:1) 2009年07月21日 16時39分
    • 1個のコメント が現在のしきい値以下です。

  • 法則性 (スコア:2)

    phenix (31258) : 2009年07月21日 15時38分 (#1608540) 日記

    > なぜカード番号と有効期限に法則性があるのか疑問
    前後に申し込んだ人に割り当てられる番号がわかれば、
    丁度月の変わり目だったり、
    学生カードなど有効期限が変則的なものでない限り、
    同じ有効期限だっていう理屈じゃないかな?

  • 一体だれの”恐怖”か? (スコア:2, すばらしい洞察)

    Anonymous Coward : 2009年07月21日 15時53分 (#1608557)

    少なくとも普通一般のカード利用者にとっては、万一勝手に番号を使われて
    一時的に口座の金が引き落とされる事があったとしても、被害者である事が
    明らかになれば、お金は戻ってきます。

    ちょっと気味は悪いけど”恐怖”するほどではない、という印象です。

    では被害を直接被るカード業者はどうか?
    記事にもある通り、カード番号の規則性うんぬんは随分昔からアングラで
    広まっており、本当にそれが恐怖に値する危機ならば、これまでに手は打たれて
    いるはずです。

    これまた”恐怖”とは程遠い状態ではないでしょうか。

  • Google で、credit card verifier で検索すると [google.co.jp]、クレジットカード番号の検証用ツールがいろいろ見つかりますよ。perl のスクリプトとかもあります。 こういうのを利用すれば、チェックデジットも含めて論理的に正しい番号は容易に生成できるのでしょうね。

  • 有効期限 (スコア:2, 興味深い)

    Anonymous Coward : 2009年07月21日 20時07分 (#1608765)

    オンラインゲームで登録したクレジットカード
    登録した時に入力した有効期限が過ぎても・・・3年も過ぎても特に何事もなく引き落としが続いてるので、有効期限って何の役に経っているんだろう?と問い合わせてみた。

    最初の決済時の認証にチェックのために使うだけで、それ以降は何にも使わないんだそうな。

    • 洗い替え (スコア:2, 参考になる)

      tea_cup (14249) : 2009年07月21日 23時18分 (#1608901) 日記

      洗い替え [google.co.jp]という仕組みを使って継続課金すれば、有効期限延長の追跡は可能だそうです。

      • Re:洗い替え (スコア:3, 参考になる)

        nobor (36216) : 2009年07月22日 0時21分 (#1608947)
         洗替サービスを使っています。有効性確認とも言います。

         月額課金形式の請求の場合は、まず初回請求のときにカードオーソリを実施し、翌月以降は有効性確認(洗替)という組み合わせで実現していることが多いです。

         通常のショッピングでカード決済する場合、よく見かけるCAT端末(Terminalが被ってますがご勘弁)に金額を入力するのはご存知かと思います。このときのカードオーソリゼーションは与信枠の確保も行います。その際、カード会社から承認番号を取得し、その承認番号でカード会社に請求します。このときは期限切れのカードではオーソリ承認が下りません。
         一方、有効性確認(加盟店→カード会社)のデータには金額の項目がありません。すなわち、幾らのお買い物なので与信枠を幾ら確保するということがなく、カード番号+有効期限でカードが使えるか使えないかということを問い合わせます。有効性確認結果(カード会社→加盟店)のデータには有効期限変更フラグだとか、カード番号変更フラグという項目があり、カードが有効か無効か、カード番号や期限の変更有無、変更後カード番号・有効期限が返却されます。加盟店側はこの結果を元に新カードに請求することができるわけです。

         なお、有効性確認は与信枠の確保がされていないこともあり、3万円(フロアリミット)を超える決済はできないことになっています。3万円を超えない範囲の月額課金に適した方法といえるでしょう。
    • Re:有効期限 by Anonymous Coward (スコア:1) 2009年07月22日 9時22分
    • 1個のコメント が現在のしきい値以下です。

  • 関連ストーリーに追加願います (スコア:1, 参考になる)

    Anonymous Coward : 2009年07月21日 16時21分 (#1608591)

    トヨタ車の連続盗難、専用合鍵作製ソフトが使われる
    http://slashdot.jp/security/article.pl?sid=08/09/03/0522253 [slashdot.jp]

  • クレジットカードの番号は不特定の相手に公開する情報なので、これが知られたところで何も問題ない。サインが一致しない場合には支払い義務は無いので気にしなくていい。

  • 解説希望 (スコア:1)

    quililila (23086) : 2009年07月21日 23時45分 (#1608924)

    この記事、何度読んでもよく分かりません。
    一般人向けでかつ詳細をぼかしているから??

    1. チェックディジットの計算方法が知られているので、有効な番号が作成できる。
    2. ある計算方法により、正規に発行されている番号が作成できる。

    このどっちかでしょうが、1だったら何を今更という感じ。調べれば簡単に分かるはずです。
    2だったら問題視する理由も分かるんですが。

    まぁ、カード番号なんて簡単に漏れるものなので、そもそも番号と有効期限だけで
    承認するあたりが根本的な問題であるように思いますが。

    # 数年前まではレシートに名前/番号/有効期限が入っていることも珍しくなかったし。

    • Re:解説希望 by Anonymous Coward (スコア:1) 2009年07月22日 1時51分
  • 5個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。