クレカ不正利用で暗躍するbotの脅威　セキュリティコード特定は“朝飯前”

写真 写真はイメージです

　昨年末、モバイル決済サービス「PayPay」で、クレジットカード登録時にセキュリティコードの入力回数に制限がない、という不備が見つかり、「総当たり式」の攻撃に利用されるのではないかという声が上がった。同時期、PayPayで相次いだクレジットカードの不正利用の直接の原因ではなかったようだが、このような攻撃は本来botが最も得意とする分野だ。実は、同様の不備や脆弱性は、PayPayだけが抱えているものではない。他の多くのサイトやサービスにもbotに狙われるリスクが今も潜んでいる。

【図：闇市場で流通しているクレジットカード情報の相場】

　そこで、日本で昨年起きたさまざまな被害や事件から、犯罪やフラウド（詐欺的行為）に利用されているbotの実態に焦点を当ててみたい。

●セキュリティコードの割り出しは“朝飯前”

　PayPayでのクレジットカード不正利用の背景の1つに、カード情報を不正に売買している闇サイト（ダークウェブ）の存在が考えられる。まずは実際ダークウェブで流通しているクレジットカード情報1件あたりの相場の例をみてみよう。例えば、残高保証がないクレジットカードの情報（カード番号とセキュリティコード）は8ドル／1件で流通している。

　ここで思い出してもらいたいのは、PayPayでも、クレジットカードの登録時にカード番号だけでなく対応するセキュリティコード（CVV）が入力されていたという点だ。

　カード表面の情報、つまり16桁のカード番号には「M10W21」または「Luhn」というアルゴリズムに基づく法則性があり、「クレジットマスター」と呼ばれる手法で割り出すことができる。古くからアンダーグラウンドで流通している「クレジットカード・ジェネレーター」といったソフトウェアや、インターネット上の同様のサービスを利用すると法則を満たすカード番号を生成できる。このカード番号は、実際、世界の誰かが利用しているカードの番号と一致する可能性が高い。

　このような背景から、多くのECサイトやスマホアプリでは、カード番号に加えてカード裏面の3桁のセキュリティコード（CVV）の入力を求めている。筆者もPayPayを使ってみたが、確かにPayPayアプリへのカードの登録手順の中でCVVを入力する項目があった。

　では、クレジットマスターの手法では生成できないCVVの情報がカード番号とセットになってダークウェブで売買されているのはなぜだろうか。

　CVVを含むクレジットカード情報は、ECサイトへの脆弱性攻撃など一般的なサイバー攻撃の手法でも盗まれている。特に最近の傾向としては、ECサイトを改ざんして、サイトの利用者が入力した情報を盗み出すプログラムや偽造ページを仕掛けたりと手の込んだ手法も用いられるようになってきた。しかしクレジットマスターなどを使い、カード番号が入手済みであれば、botを悪用しても比較的簡単にCVVの照合ができる。

　わずか3桁の番号を割り出すのは、繰り返し処理を得意とするbotにとって朝飯前の作業だ。当初のPayPayアプリの実装のように、CVVの入力回数の制限を設け忘れているサイトやサービスは世界中に多数存在する。各カード番号に対応したCVVを照合するにはそれらのサイトを、botで千回総当たりすれば済む。図らずも今回のPayPayの事件が教訓となり、そのリスクの一端を一般の人も知ることとなった。

　こうした「総当たり」を得意とするbotの特性は、CVVなどのクレジットカード認証の照合確認だけでなく、不正に入手した大量のIDとパスワードが、ECサイトなどで使い回しできるか否かの確認にも悪用されている。

●「闇市場の結び付き」を断ち切れ

　昨年、日本でもパスワードリスト型攻撃による被害が立て続けに報じられた。5月には「セシールオンラインショップ」が1938件のログインの試行を受け、490件のアカウントで実際にログインされた。また、8月にはケイ・オプティコムの「mineo」会員サービス「eoID」が約126万回のログイン試行を受けて6458件のアカウントで不正ログインが行われ、NTTドコモのオンラインショップでも不正ログインを許した結果、「iPhone X」約1000台が不正に購入される被害が発生した。

　その後も、四国電力の会員向けサービス「よんでんコンシェルジュ」、アプラスが提供する会員向けWebサービス「NETstation＊APLUS」、電子マネー「smartWAONウェブサイト」、ローソンのポイントカード「おさいふPonta」と、なりすまし不正ログインに起因する実被害の報告が相次いでいる。

　eoIDへのログイン試行回数の値からも想像できるように、こうした攻撃の各段階で、不正に入手したアカウントや認証情報が標的とするサイトでも使えるか確認するための「総当たり」作業をbotが担っているケースは多い。

　多くの会員制サイトには、新規の会員登録を行う際に同じユーザーIDでの登録を防止するための機能がある。「そのユーザーIDはすでに使われています」と表示されるエラー画面を見たことがある人は多いだろう。botは不正に入手したリストのユーザーIDを次々にユーザー登録画面に入力して試し、エラーが出ずに会員登録プロセスの次の画面に遷移したユーザーIDのリストをまず作成する。

　ここで注目したいのは、この段階では不正ログイン行為までは行われていないということだ。サイバー攻撃とまでは言い切れないからか、ECサイトでもこの段階での予防策を打っていないことが多い。

　こうして絞り込んだリストは、付加価値をつけて次の段階の攻撃者に販売される。その攻撃者は、また別のbotネットを使ってIDに対するパスワードの有効性を検証していく。その際には、簡単にbotと検知されないよう低頻度のアクセスで、時間をかけて検証をする高度な分散型botが用いられることもある。

　その結果のリストがさらに再販され、最終的にアカウントに登録されているクレジットカード情報を用いて商品が不正に購入される。ユーザーがそのサイトでの買い物でためたポイントを共通ポイントの交換サービスなどを利用して他の電子マネーなどに移す「ポイント・ロンダリング」を通じて、現金化される場合もある。

　ところで、標的型マルウェア攻撃手法の解説では「サイバーキルチェーン」という攻撃の段階の図が用いられることがあるが、ここで注目するのは「不正ログインのサイバーキルチェーン」だ。

　それぞれの段階で異なる攻撃者がbotを悪用してデータを“洗い”、闇市場でそれらのデータを取引することで緩く結び付いている。botの検知システムを利用することで、それらのbotの動きを早い段階から抑止し、不正なチェーンを断ち切って被害を未然に防ぐことが可能になる。

　「パスワードの使いまわしはやめてください」とユーザーに告知する裏で、「パスワードリスト型攻撃による不正ログインは仕組み上防げない」という事業者側の思い込みはないだろうか。匙（さじ）を投げる前に、事業者側でもユーザー保護のために取れる予防策がないのか、あらためて問い直すことは無駄にはならないはずだ。

●共通ポイントを狙うフラウド（詐欺的行為）

　先に挙げた昨年の不正ログイン被害のうち、「よんでんコンシェルジュ」「smartWAONウェブサイト」「おさいふPonta」が、いわゆる「共通ポイント」に絡んだ事件だった。このことからも、いま犯罪者にクレジットカードと並び狙われているのが、電子マネーなどへの現金化が容易な「共通ポイント」の仕組みだということが分かる。

　さらに「よんでんコンシェルジュ」の例から、狙われるのは共通ポイントのシステムを作って運用している限られた事業者だけではない、という点にも注目して欲しい。これらのポイントを取り扱う、数々の加盟店も攻撃の標的となっていることが分かる。

　正規のユーザーがためたポイントを不正ログインにより現金化する手法だけでなく、加盟店がキャンペーンなどで付与するポイントを狙ったbotを悪用するフラウド（詐欺的行為）も起きている。

　「無料の会員登録で、今なら“共通ポイント”を3000ポイント分プレゼント！」といったキャンペーンを打っているポイント加盟店のサイトは多い。このようなサイトで、ダミーの新規アカウントを大量に作成してポイントを不正に受け取る作業にbotが用いられている。現金化に直結するため、この行為でも単純なbot検知の手法を回避するための仕組みを備えた高度なbotが観測されている。

　このような共通ポイントに関連する不正行為やトラブルの頻発もあり、いくつかの共通ポイント加盟店のサイトでも最新のbot検知の仕組みの導入や検討がすでに始まっている。

　bot対策は、さまざまな不正防止対策の一部ではあるが、今まで「対策は不可能」と諦めざるを得なかった事件やサイバー被害の背景にある「不正の連鎖」を断ち切ることで、ユーザーの資産を保護できる可能性を秘めている。

●著者紹介：中西一博

1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向などを解説している。