パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

流出したクレジットカード番号がPayPay経由で使われる懸念」記事へのコメント

  • その先のカード会社のサーバで確認するんでしょ
    そっちもぶっ通しなのかな?
    セキュリティが売り物のカード会社にしてはザルい気がするな

    • 自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。

      親コメント
      • 自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。

        クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?
        裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。

        # 3Dセキュア必須にするとかはできるけど

        親コメント
        • by Anonymous Coward

          そもそも不正利用を100%なくそうなんて日本人的ゼロリスク原理主義的思考ではなく不正に利用された部分は保険でカバーすればいいという発想なので(もちろん不正利用が多くなれば保険料がかさんだり最悪保険を拒否される可能性があるから少ないに越したことはない)。中国のAliPayやWeChatPayなんて、正常な決済が50%あれば審査を通る(それでも採算がとれる)らしいぞ。どれだけ儲かってんだよ。

          • by Anonymous Coward

            こんなんでも偽札のリスクよりはましという世界なんでしょうかね
            ゼロリスク原理主義ではないつもりですが、そこまでついていけるか自信がないですね

        • by Anonymous Coward

          クレカに限らず決済システムはそう言うもんですねー。
          クレカ経由の場合は保証が一応付いてるし色んな規制が良くも悪くもあるので、悪いことしたら捕まるし保証もされるけど。

      • by Anonymous Coward

        出来るよ?
        だから、店舗で決済金額チェックさせられるだろ?請求金額間違ってませんよねーって。
        アレが本来の運用やぞ
        ネットの場合10倍とかされてもわからんからチェックは必須

    • by Anonymous Coward

      auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな
      決済かけてないから失敗してもカード会社側は特に検知しないと思う
      新規登録でユーザ増えていってるかな?になるだけなんで

      で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん

      • by Anonymous Coward

        その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。

        • by Anonymous Coward

          業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。
          なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。

          わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。
          だから、普通は多数で共有してるものをブロックはしないはず。

          今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。

          • その例でいうならカード番号ごとに試行失敗をカウントすりゃいいじゃん
            携帯回線でいえばIPアドレスではなくて電話番号で絞ればよいって話

            仮に番号を変えながらやったとしても、
            トータルで失敗率が上がってきたら対策するとかいろいろ考えられるのでは?

            いずれにせよ例に過ぎないので実際には対応が簡単ではないとしても、
            実際に破られることが纏めて発生しちゃうんなら
            信用を売り買いしてるカード会社にしちゃーへぼいんじゃないかなぁ

            今回の件で言うとカード会社ごとの率とかどうなんかね

            親コメント
            • by Anonymous Coward

              だから、それはPayPay側の実装の話であってカード会社側システムで防ぐもんじゃない
              決済ネットワークなんてカード番号、有効期限、セキュリティコード、TDSリザルト、氏名ぐらいしか使わん

              なんで決済ネットワークに電話番号やら何やら送ると思ってんだよ

              • 何で例えに過ぎない電話番号を送ると思ってるんですかね…

                親コメント
              • by Anonymous Coward

                paypayのユーザーアカウントって電話番号そのものじゃなかったっけ?

              • by Anonymous Coward

                たぶんカード会社には電話番号なんて送ってないと思うぞ
                あとPayPayっつーかSBPS側で同じカード番号に対する試行回数制限とかやろうと思えばまぁ出来るだろうけど、
                それでSBPS判断で止めていいかっていうと、事前にカード会社と調整しとかんと不味いんではないかなぁ
                ちゃんとしたカード会社ならモニタリングで引っかかったカードは一時停止とかするし

                っていうか単純にカード登録するときに3Dセキュアで少額与信しとけば済む話なんだがな

              • by Anonymous Coward

                電話番号に限らず、カード会社側APIとして利用者あたりに有限と仮定できなくもない識別情報(電話番号、IPアドレス、ユーザID、店舗レジID等)を必須項目には出来ていないだろうって話でしょう。

                オンラインで暗証番号固定してカード番号に総当りを仕掛けるのを回数で弾いて防ぐ場合、攻撃者が無数に確保するのが難しい識別情報に対して試行回数をカウントするしかない。
                でも、店舗形態ごとに提供できうる識別情報は異なるので統一の基準で識別情報を強制することは不可能。
                何パターンかから選択制で用意する(してる)にしても今回のようなノーチェックが選択肢にあるなら無いのと同じこと。

              • by Anonymous Coward

                無数に確保するのは難しい情報でってお前はBOTネットワークも知らんの?
                未だに何万台のノードがいると思ってんの?

              • まず「電話番号」っていうのは誰かが例に出した携帯ネットワークでの識別の話を引いてるだけで
                私としては何にも意図はないんですよね
                カード会社が電話番号を何かに使ってるとか思ってないです

                んでまぁカード番号も暗証等もうまくばらしながらクエリしてくるのをカード会社が検出するのが大変だにしてもですよ、
                大変だからやってないんだよね、Paypay経由でヤラレタならPaypayが泥被るからいいんだよ、
                とかそんな話にゃならんのじゃないのかなと

                不正利用者を許さないというのはカード会社の建前として非常に大切なところでしょ
                いろんな手法を使って検出してるとも聞きますし、入り口だけそんなぬるいもんなのかなと
                販売業者が多少へぼったからと言って不正利用を許しちゃうっていうのはカード会社として問題ないとは思えないなぁ

                今回の件でも調べてみると結局A社のカードは大丈夫だった一方、
                B社は抜かれたとかになると辛いだろうなぁ

                親コメント
              • by Anonymous Coward

                カード会社によると思うけど対応してるところはしてるのでは?

                でもって流出させたのは明確にPaypayとか代行サービス側でカード会社としては知らねーよ、が基本スタンス。
                さらに言うとカード不正利用の保証は顧客に対して適切にされると思うのでむしろブッ殺すぞ! くらいをPaypayに思ってはいると思う。
                つまり上記のようなカード不正利用の担保をどのくらい減らすが((マグネットからICチップ対応もその類)が一つのモチベーション。

                今回は自動生成もできるから困ったもんだけど、そんなバカをこんな大手がするとは、、、ってのが感想かなー。

              • by Anonymous Coward

                君の文章が下手すぎて、実装例と例え話が混在している上に論旨がブレまくってるからでしょ。

              • by Anonymous Coward

                細かい話になると、いつもいろんな手法とかでごまかして逃げるのね。
                無知なら無知なりにもう少し謙虚にするか、せめて少しでも調べてから喋ればいいのにね。

              • 何じゃそりゃw
                ACにいつもとか言われてもわからんわ
                読み取る気のない奴相手にしゃべる気が萎えただけよ
                順番にちゃんと読めばわかる話

                親コメント
              • 「対応してるところはしてる」ってのは有りそうなはなしで、
                Paypayに置かれましては今回の問題で突破されたカードの種類とか公表してほしいもんだ

                多分しがらみとか契約でダメだろうけど

                親コメント
              • by Anonymous Coward

                だからまぁCAPTCHAかなんかやDDoS対策も組み合わせる必要もあって、そのへんの統一規則考えるとAPIでは対処がまず無理なのよな。
                カード会社のサイトに飛ばしてそっちで対策するって規則にしとく位かねぇ?

          • by Anonymous Coward

            IPアドレスを共有してるユーザーっているんだ。

            192.168.0.1 かな。

            • by Anonymous Coward

              IPアドレスを共有してるユーザーっているんだ。

              192.168.0.1 かな。

              WiFiを使う場合などは言うまでもなくマンション等でも普通にプライベートIPが割り振られるし、
              SIMを使うモバイル網でもキャリアグレードNAT(100.64.0.0/10)がかかっているのは珍しくないですよ。
              スマートフォンとかで 100.xx.xxx.xxx とか普通に割り振られてませんか?

              ま、だからといって、総当りに対する対策がとられてないのはお粗末ですな・・・。
              PayPay側でなら電話番号でもIMEIでも使えそうなものはいっぱいありそうですが・・。

              カード利用でメール等で通知が飛んでくるカード会社って少ないんですよね・・・。

      • by Anonymous Coward

        ええっと「洗替システム」使ってんの?
        それって使っていいのかしらと言うのが一点と、実はwせdrftgyふいおな仕様なので、何回もやらなくてもいいような気がしてきた……(((( ;゚Д゚)))ガクガクブルブル

      • by Anonymous Coward

        めんどくせいからここにぶら下げておくけど大抵第三者がいう対策は考えられている。
        その上で実施されていない。
        何故か?そう言った問題を防ぎたいなら上で言われてるようにAuth使えって話。
        Checkは「カード有効性しかしない」のだからいいの
        カード会社の仕様が間違ってんじゃなくって使う処理を間違えているだけじゃないのかな?

        こうすればいい、ああすればいいじゃないよ
        実際どういう実装してたのかは分からんがAuthで少額決済してたら防げたと思うよ

        • by Anonymous Coward

          https://tech.nikkeibp.co.jp/it/atcl/idg/14/481709/120600279/ [nikkeibp.co.jp] って、まさにその Check の仕様の問題を突かれているわけではないの?

          これも Check の使い方を間違っている (Auth を使うべきところで Check を使っている) ということ?

          • by Anonymous Coward

            記事に書いてあるのに読めないのはちょっと
            カード会社側で最終的に不正検知に引っかかって落とされるリスクは上がってるけど
            割り出すだけじゃら複数のサイトでオーソリ投げれば試行回数は事実上いくらでもあるっていう記事に対して
            オーソリだチェックだって何を言ってるんだ

            • by Anonymous Coward

              オーソリだチェックだってのは (#3535282) がそう説明してるから言ったのであって、
              こっちが問題にしてるのは『試行回数は事実上いくらでもある』ことに対して
              カード会社側で対策する気はないの? ってことなんだけど。

              他のツリーで『カード番号でロックをかけたら正規の利用も出来なくなるからダメ!』
              って話があるけど、不正利用されるくらいなら正規の利用が一時的に制限される方が
              マシという考え方も有りえるでしょ。

              これまた他のツリーにあるとおり、カード会社としては不正利用絶対阻止! という
              考えではなくて、確認でき次第キャンセル・返金して、保険でカバーできれば
              問題ないと考えているのでしょうけど。

    • by Anonymous Coward

      カード会社としては
      3Dセキュア通してない決済で不正が発覚した場合、全て加盟店(=PayPay)が責務を負う契約
      となるため、不正利用でも売り上げ立つから何も問題ないのです。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...