パスワードを忘れた? アカウント作成
122725 story
セキュリティ

クレジットマスターの恐怖 80

ストーリー by hylom
Business::CreditCard 部門より

あるAnonymous Coward 曰く、

やや旧聞になるが、産経ニュースによると、クレジットカードの番号には特定の法則があり、正しいカード番号と有効期限が一組手に入ればその番号から同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ。

なぜカード番号と有効期限に法則性があるのか疑問だが、なんらかしらの事情があるのだろう。記事では「スーパーコンピュータを使って番号を作り直せばいいのでは」というカード会社関係者の話も載っているが……。

Internet Watchの記事によると、他人のクレジットカード明細書を盗み、明細書に記載されている一部がマスクされたカード番号から正しいカード番号を導出される事件も発生しているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by duenmynoth (34577) on 2009年07月21日 15時24分 (#1608526) 日記
    > 正しいカード番号と有効期限が一組手に入ればその番号から
    > 同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ

    という事はビザよりマスターやJCBの方がまだ安全という事ですね
  • っつーか……… (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2009年07月21日 16時57分 (#1608623)

    三井住友VISAカード&三井住友マスターカード加盟店規約(通信販売[含EC]用) [smbc-card.com]を見る限り、

    第13条(信用販売の手順)
    1.加盟店は、前4条によりカードによる信用販売の申込みを受けたときは、申込書、申込受付
    書、申込みデータに基づき、遅滞なく全件について、当社の定める方法によりカード会員番号、
    カードの有効期限、売上債権額
    、会員認証手続を実行したときはその結果等を当社に通知して、
    信用販売の承認を得るものとします。但し、当社より要求を受けた場合は、会員氏名等、その他
    の申込情報を通知するものとします。当社の承認が得られなかった場合はカードによる信用販売
    を行わないものとします。

    で、カードホルダーネームが原則が入ってないのがまずいんじゃないのか?

    新聞記事を見る限り、楽天はカード名義者が違っていても買えていたという報道あったし(ただ、カードの明細盗む手口だと無力だけど)。

    • by JULY (38066) on 2009年07月21日 18時15分 (#1608685)
      > で、カードホルダーネームが原則が入ってないのがまずいんじゃないのか?

      同感。

      私も IT Media のこの記事 [itmedia.co.jp]を読んだときに、「えっ、名前って確認しないの?」と思いました。

      郵便物を盗まれたようなケースはともかくも、適当な番号を推定して使う場合なら、名前を入力させるだけで、全然違うと思うんだけどなぁ。
      親コメント
  • 個人でも解読できます (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2009年07月21日 14時38分 (#1608472)

    ちょうど安いスパコンが発売されています [srad.jp]。数人解読すれば回収できるでしょう。

  • by lutero (1993) on 2009年07月21日 15時18分 (#1608524)

    同センターによると、瓜生容疑者は札幌市内のマンションの郵便受けなどから、番号の一部が伏せられたクレジットカード会社の明細書を盗み、
    記載されている12ケタの番号を特殊な計算式に当てはめて、残りの4ケタを割り出していた。

    12桁も晒して伏せてるのがたった4桁とか、さすがに元記事が間違ってることを祈りたいものだが…。
    ちなみに最初の4桁はカードの発行元と種類で固定なので、クレカ会社の明細だけで8桁は筒抜けになるのでご用心

    • by celibidache (14043) on 2009年07月21日 15時28分 (#1608533)
      一部伏字の番号から、何等かの計算式で正しい番号を導き出すのは、有り得る気がする。

      でも、
      >> 正しいカード番号と有効期限が一組手に入れば
      >> その番号から同じ有効期限をもった実在する
      >> 他のカード番号をかなりの確率で生成でき
      たとして、card holderが判らんと思うのだけど

      名義人と、番号と、有効期限と、3桁の確認コードの全てが揃っていないと決済出来ないという訳では無いの?
      親コメント
      • by Kazsa (25846) on 2009年07月21日 18時00分 (#1608671) 日記

        カードの確認に、カード裏の確認コード (っていうんだっけ) を入力させる通販サイトもあるけど、そういったサイトをクラックして確認コードごとコピーされたら意味ないよなあといつも思うんですけど。
        普段店頭でしか使わないカードなら現実にカードを持っている確認にもなるんでしょうが、普段からネット使ってたら、どこかから漏れて使われたら同じなんじゃないかな。

        それはともかく、自分のカードは表のカード番号と裏の確認コードを暗記しちゃったから、カードが手元になくてもネット通販利用可能になっていたり。まったくなんていうセキュリティ。

        親コメント
      • by Anonymous Coward on 2009年07月21日 15時41分 (#1608547)
        某カード決済サービスでは、カード番号+有効期限があれば決済できます。
        apiのパラメータに「名義人」はありません。
        もちろん最低限の情報なので、アプリケーション側で3Dセキュアを使ったり、ということは可能です。
        親コメント
        • by celibidache (14043) on 2009年09月25日 17時12分 (#1644307)
          参考になったので、ここにぶら下げますが
          先々週(Master)と先週(VISA)、立て続けて2枚無効になりました

          Masterの方は、電話連絡が付かないので電話下さいという手紙
          電話したら、怪しい決済があったので、無効にしましたとのこと
          そりゃ、秋葉原の店頭で買い物した同じ日に、米国でガソリン給油したら怪しいよな (朝秋葉原に寄ってから同日午後飛べば、有り得ないことは無いが…そもそも僕は運転免許が無い)
          こちらは、今春米国Radissonに泊まった際に使ったので、http://www.itmedia.co.jp/news/articles/0908/20/news024.html
          に当たっちゃったのでしょうか

          Visaの方は、連休中決済出来なかったので、帰国後電話したら、スウェーデン・スペインの店頭で多発的に使われたので仮に無効にしたとのこと
          こっちは身に覚えが無いので、クレジットマスタ?
          スウェーデンは5年位行っていないし、スペインも今年は行っていない

          両社も、決済1つづつ、「これは身に覚えありません」「これは確かに使いました」と電話で確認して、正式に無効化

          後日、番号を変更したカードを再発行し、受け取り次第、現在のカードを返送することになっています
          両社とも、カードの現物が手元にあるのかと念を押され、確実に返送する様に言われたので、これを免責の証にするのでしょうか
          親コメント
    • Re:0123-4567-8901-XXXX (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2009年07月21日 16時00分 (#1608568)
      某サイトAの伏せ方
      0123-4567-8901-XXXX

      某サイトBの伏せ方
      XXXX-XXXX-XXXX-2345

      まぁ昔は丸見えだったりセキュリティコード不要だったりでしたからそれよりはマシでしょうけど。
      親コメント
    • Re:0123-4567-8901-XXXX (スコア:1, 参考になる)

      by Anonymous Coward on 2009年07月21日 16時39分 (#1608609)

      かつてのイオンクレジットは、カードを送付してくる際、宛先氏名の下にカード番号を逆の桁から並べかえただけの番号が印刷されてた記憶があります。
      JR東日本の発行するビューカードの場合は、今でもカード番号のうち上5桁を除いた数字が印刷されています。ちょっとこれはひどいんじゃないでしょうか。カードの有効期限のほうは郵便物送付時期から推測できるでしょうし。

      そういえば数年前くらいまでは店頭でカードを使うと番号がレシートに印刷されてましたね。

      親コメント
    • by Anonymous Coward
      いまのところ“下4桁のみ表示”のパターンしか見たことないんだけど、そこまで表示してるものもあるのね…
      あ、ふたつ組み合わせたら全部わかるじゃん…
  • by phenix (31258) on 2009年07月21日 15時38分 (#1608540)

    > なぜカード番号と有効期限に法則性があるのか疑問
    前後に申し込んだ人に割り当てられる番号がわかれば、
    丁度月の変わり目だったり、
    学生カードなど有効期限が変則的なものでない限り、
    同じ有効期限だっていう理屈じゃないかな?

    • by yasu (7) on 2009年07月21日 20時15分 (#1608774) ホームページ

      同じ時期に申し込んでも、人によって有効期限が2年だったり5年だったりするので単純にはいきませんが、月は普通同じですね。 学生カードでも有効期限は大抵の場合年単位のはず。 卒業する年になったら、一般カードに切り替わって初年度年会費無料が多いと思う。

      --
      HIRATA Yasuyuki
      親コメント
    • by rin_penguin (9144) on 2009年07月21日 16時00分 (#1608569)

      私も「カード番号に有効期限を埋め込んでいるわけないよなー」と
      最初は思ったのですが、例えばカードの有効期間を5年(=60ヶ月)と
      仮定して、全カードを60のグループに分割し、有効期限(月/年)が
      同じもの同士を同一グループに入れるような仕組みになっていたら
      直接埋め込んでいなくてもこういうこともあり得るかな、と思いました。
      # まるっきり根拠ないけど。

      親コメント
    • by Anonymous Coward

      自分の持っているカードだと、ABCD-EFGH-IJKL-MNOPのうち

      ABCD-EF カードの種類。固定。
      GH-IJKL なんと連番。びっくり。
      M 本会員は「1」
      N 再発行回数?「0」
      OP チェックサム?

      同時期に発行されたものは似たような有効期限ですから、とても不安がありますね。

      • Re:法則性 (スコア:5, 参考になる)

        by Anonymous Coward on 2009年07月21日 18時01分 (#1608673)

        最初の6桁:国際ブランドなどや発行会社の判別(銀行識別番号)
        真ん中の9桁:個別の識別番号
        最後の1桁:クレジットカード番号が正しいかどうかを確認するコード
        http://card.benrista.com/card_number.html [benrista.com]

        カード番号は下記の計算でチェックすることができます
        1.カード番号の奇数桁目を2倍にし、値が10以上になったら9を引く
        2.それぞれの数字を足す
        3.2の結果が10の倍数になったら正しい番号。10の倍数で無ければ不正な番号
        http://kawama.jp/archives/2006/01/post_139.html [kawama.jp]

        うえの法則を利用することで番号を自動生成できます
        クレジットカード番号ジェネレーター
        http://members.fortunecity.com/glaszta/creditcard.html [fortunecity.com]

        親コメント
  • by Anonymous Coward on 2009年07月21日 15時53分 (#1608557)

    少なくとも普通一般のカード利用者にとっては、万一勝手に番号を使われて
    一時的に口座の金が引き落とされる事があったとしても、被害者である事が
    明らかになれば、お金は戻ってきます。

    ちょっと気味は悪いけど”恐怖”するほどではない、という印象です。

    では被害を直接被るカード業者はどうか?
    記事にもある通り、カード番号の規則性うんぬんは随分昔からアングラで
    広まっており、本当にそれが恐怖に値する危機ならば、これまでに手は打たれて
    いるはずです。

    これまた”恐怖”とは程遠い状態ではないでしょうか。

    • by Anonymous Coward on 2009年07月21日 17時25分 (#1608645)
      不正に使われた分は戻ってくるから問題ないという感覚が、カードの不正利用犯罪が
      無くならない最大の原因じゃないかと思います。

      > では被害を直接被るカード業者はどうか?

      戻ってくるとはいえ、それはカード利用者が払っている会費や利用料金から出される
      保険から戻ってくるだけで、カード会社が負担しているわけではありません。

      一部の被害者の損害を全利用者が負担しているようなものですね。

      こういう簡単に悪用できるカード犯罪が増えたときに恐怖するのは、その影響で
      会費が大幅値上げされるかもしれない全利用者ですね。

      > 記事にもある通り、カード番号の規則性うんぬんは随分昔からアングラで
      > 広まっており、本当にそれが恐怖に値する危機ならば、これまでに手は打たれて
      > いるはずです。

      ある程度は対策していますが、その都度突破する手段が出ているということですね。

      また、被害は保険で補てんされることから、カード会社も本気で対策したり、
      犯人や犯行グループを封じ込めることまでしないようです。
      親コメント
    • > 被害者である事が明らかになれば、お金は戻ってきます。

      とは聞くのですが、実際のところ、被害者であることをどの程度立証すればいいのですか?
      「こんなの買ってない」と言うだけでいい? その時のアリバイが完璧でなければならない?

      --
      1を聞いて0を知れ!
      親コメント
    • by Anonymous Coward
      同感ですね。
      カード会社が潰れそうになるほど詐欺が横行した時期を考えれば、こんな話がニュースになる事自体驚きです

      #日本の話ではありませんが
      • by tietew (6130) on 2009年07月21日 16時28分 (#1608602) ホームページ

        定期的にニュースにする価値はあるんじゃないですか。
        要するに、カードの明細はちゃんと毎月見ましょう、おかしなところがあればカード会社に確認しましょうと、定期的に啓蒙するわけです。
        明細書の封を切ってすらいない人、周りにいたりしませんか。

        親コメント
        • 明細書を送らないサービスにすると月100円とかありますが、
          いまいち家族にはそのメリットが伝わらなくてこれを餌にしようと思います。
          まぁ、webサービスはそれはそれで便利ですが
          能動的に見に行かないと明細を確認しないので
          それはそれで不便なんですけどね。

          ただ、携帯やらカードやらで毎月5〜10個は明細が届いているわけで
          それを全部100円引きにしたらけっこうな節約ですよ。と私は思っています。
          親コメント
        • ネットバンクだと振込・引落があった際に即日メールしてくれるサービスがあるのに、
          探した限り、クレジットカードでは決済通知メールを即日で送ってくれるところは無いんですよね。

          「そんなことをしたら、消費が冷え込んでしまうじゃないか」
          いやごもっとも。。機会損失>被害額なんでしょうね。

          親コメント
          • それはクレジットカードの決済処理がリアルタイムではないからです。

            日本では、与信処理(すごくぶっちゃけると利用枠の確保)自体はほぼリアルタイム化されていますが、実際に決済が確定するのは締め日です。与信をとってから決済するかどうかは締め日までに確定すればいいので、与信をとっても決済をキャンセルとかふつうにありますし(サインが違うから破棄とか)、トランザクションのたびに顧客に通知すると、却って混乱を招くかと。

            リアルタイムではない与信処理というのは、典型的にはカード番号をカーボンで写し取るやつ。
            親コメント
          • 正確な意味でのクレジットカードではない(VISAデビット)ですが、
            イーバンクマネーカードだとクレジット決済時にメールが飛んできます。
            金額はWEB見に行く必要があったと思いますが・・。

            --
            ---にょろ~ん
            親コメント
        • by Anonymous Coward
          明細書は毎月見た方がいいですね。 意外な落とし穴があったりします。 例えば解約したはずのYah○○!から200円くらいの引き落としが続いていたり・・・。
          • by Anonymous Coward

            Yahoo!って2ヶ月ぐらい遅れて請求してくるよね。
            解約しても請求が続いているみたいで鬱陶しい。

  • Google で、credit card verifier で検索すると [google.co.jp]、クレジットカード番号の検証用ツールがいろいろ見つかりますよ。perl のスクリプトとかもあります。 こういうのを利用すれば、チェックデジットも含めて論理的に正しい番号は容易に生成できるのでしょうね。
  • 有効期限 (スコア:2, 興味深い)

    by Anonymous Coward on 2009年07月21日 20時07分 (#1608765)

    オンラインゲームで登録したクレジットカード
    登録した時に入力した有効期限が過ぎても・・・3年も過ぎても特に何事もなく引き落としが続いてるので、有効期限って何の役に経っているんだろう?と問い合わせてみた。

    最初の決済時の認証にチェックのために使うだけで、それ以降は何にも使わないんだそうな。

    • 洗い替え (スコア:2, 参考になる)

      by tea_cup (14249) on 2009年07月21日 23時18分 (#1608901) 日記

      洗い替え [google.co.jp]という仕組みを使って継続課金すれば、有効期限延長の追跡は可能だそうです。

      親コメント
      • Re:洗い替え (スコア:3, 参考になる)

        by nobor (36216) on 2009年07月22日 0時21分 (#1608947)
         洗替サービスを使っています。有効性確認とも言います。

         月額課金形式の請求の場合は、まず初回請求のときにカードオーソリを実施し、翌月以降は有効性確認(洗替)という組み合わせで実現していることが多いです。

         通常のショッピングでカード決済する場合、よく見かけるCAT端末(Terminalが被ってますがご勘弁)に金額を入力するのはご存知かと思います。このときのカードオーソリゼーションは与信枠の確保も行います。その際、カード会社から承認番号を取得し、その承認番号でカード会社に請求します。このときは期限切れのカードではオーソリ承認が下りません。
         一方、有効性確認(加盟店→カード会社)のデータには金額の項目がありません。すなわち、幾らのお買い物なので与信枠を幾ら確保するということがなく、カード番号+有効期限でカードが使えるか使えないかということを問い合わせます。有効性確認結果(カード会社→加盟店)のデータには有効期限変更フラグだとか、カード番号変更フラグという項目があり、カードが有効か無効か、カード番号や期限の変更有無、変更後カード番号・有効期限が返却されます。加盟店側はこの結果を元に新カードに請求することができるわけです。

         なお、有効性確認は与信枠の確保がされていないこともあり、3万円(フロアリミット)を超える決済はできないことになっています。3万円を超えない範囲の月額課金に適した方法といえるでしょう。
        親コメント
  • by Anonymous Coward on 2009年07月21日 16時21分 (#1608591)

    トヨタ車の連続盗難、専用合鍵作製ソフトが使われる
    http://srad.jp/security/article.pl?sid=08/09/03/0522253 [srad.jp]

  • クレジットカードの番号は不特定の相手に公開する情報なので、これが知られたところで何も問題ない。サインが一致しない場合には支払い義務は無いので気にしなくていい。

  • by quililila (23086) on 2009年07月21日 23時45分 (#1608924) 日記

    この記事、何度読んでもよく分かりません。
    一般人向けでかつ詳細をぼかしているから??

    1. チェックディジットの計算方法が知られているので、有効な番号が作成できる。
    2. ある計算方法により、正規に発行されている番号が作成できる。

    このどっちかでしょうが、1だったら何を今更という感じ。調べれば簡単に分かるはずです。
    2だったら問題視する理由も分かるんですが。

    まぁ、カード番号なんて簡単に漏れるものなので、そもそも番号と有効期限だけで
    承認するあたりが根本的な問題であるように思いますが。

    # 数年前まではレシートに名前/番号/有効期限が入っていることも珍しくなかったし。

    • Re:解説希望 (スコア:1, 興味深い)

      by Anonymous Coward on 2009年07月22日 1時51分 (#1608984)

      クレジットマスターはクレジットカード番号のジェネレーターの名前です(最終更新はv4で1995年。DOSプロンプトで作動する古いソフト)。
      古いUG系のサイトにまだ落ちていたので試しに走らせてみましたが、Windows7では動かず、XPで動かしてもロゴ画面でフリーズしました。(Windows95や98でないと動かない様子)
      さすがにそんな古いツールを今時使っている人はいないと思うので、クレジットマスターというのはカードジェネレーターを悪用した手口を意味するマスコミの造語として捉えていいと思います。

      1.の方式は古くからあるmod 10アルゴリズム [darkcoding.net]を用いた計算で整合性のあるカード番号を生成するものですが、有効期限は生成されないため、下手な鉄砲数打ちゃ当たる方式で有効期限を試す必要があります。
      今回の件は、既存のカード番号を入力すると、その番号から逆算して別のカード番号を生成するため、生成元のカードの有効期限が一致する確率が高い(なぜ?)、ということなので、1.の進化系、2.未満のツールなのではないでしょうか。
      クレジットカードジェネレーターは山ほど存在するので、そういうツールがもともとあるのか、犯人が独自に計算式を導き出したのかもちょっとわからないですね。

      親コメント
  • それでは (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2009年07月21日 15時09分 (#1608512)

    大量のカード番号をスキミングで入手して、
    法則性を割り出してカード番号を生成しましょう。
    あれ?

  • by Anonymous Coward on 2009年07月21日 16時22分 (#1608596)
    カードナンバーをビルドして有効期限で総当たりするのは古典的手法
    クレジットマスターはソフトの名前で手法の名前じゃない
    それらに対応するためにセキュリティーコードや名義人のにゅりょくが必要になっているところが多い

    やられても名義人には百パーセント落ち度がないのでカード会社が必ず保障してくれる

    結論 恐怖を煽るような事じゃない
    • Re: (スコア:0, オフトピック)

      by Anonymous Coward
      > それらに対応するためにセキュリティーコードや名義人のにゅりょくが必要になっているところが多い

      被害者の郵便物を盗んでるので、名義はゲット済み。
      使ったのがホテルの宿泊費何かなので、セキュリティコードの入力は無し。
      また、楽天トラベルの顧客情報も入手していたので、もしかするとセキュリティコードも
      知っていたかも。

      > やられても名義人には百パーセント落ち度がないのでカード会社が必ず保障してくれる

      それはあくまで被害者が気づいて、カード会社にそれなりの手続きをした場合。
      そうじゃなければ、カード会社にとっちゃ、いいお客様。

      > 結論恐怖を煽るような事じゃない
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...