Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国と韓国のカード情報流出

PCI DSS クレジットカード情報漏えい事件 海外事件 つぶやいてみた。

シンガポールを拠点とするセキュリティ企業Group-IBがDarkWeb上(Joker's Stash)での新たなカード情報漏えいを報じていました。韓国と米国のカード情報40万枚の磁気ダンプが販売されていたとの事。

www.group-ib.com

 

公開されたレコードの総数は397,365です。データベース名に韓国の単一の言及は含まれていませんでしたが、韓国のカードの詳細が新しくリリースされたバッチの大部分を占めていました。およそ49.9%(USD 991,165で評価された198,233アイテム)は韓国の銀行と金融機関49,3%は米国の銀行および金融機関に関連しています。アメリカのカードダンプは伝統的に暗いウェブで取引されることが最も一般的ですが、韓国の支払いカードの詳細は、地下では非常にまれな商品です。

(中略)

クレジットカードとデビットカードの詳細のデータベースには、主にトラック2の情報が含まれています。データはカードの磁気ストライプに保存されており、銀行識別番号(BIN)、口座番号、有効期限、およびカード確認値も含まれている可能性があります(CVV)。Track 2データ(カードダンプとも呼ばれます)は、カードのプレゼント取引に使用され、通常、感染したPOS端末、ATMスキマー、または違反した販売者の支払いシステムから取得されます。ただし、この場合、盗まれたデータの出所は不明のままです。

(Group-IB記事より引用)※機械翻訳

 

キタきつねの所感

米国発行カードと韓国発行カードがほぼ半々になっているのが不自然なので、カード漏えい元を隠ぺいする意図があったのかなと思いますが、下記のカードデータ詳細を見る限り、大きな店舗チェーンで磁気情報がスキミングされた可能性が高い気がします。

 

Group-IB記事中の図(4/9にリリースされたカードデータの詳細)を引用

図2データベースに含まれる情報の種類h

 

韓国のICカード普及率(取引端末)について正確なデータを知らないのですが、statistaのデータによるとアジア全体(APAC)では約68%です。

 

下記のデータを見ると分かるかと思いますが、上記のカードデータ(磁気取引データ)を犯罪者が狙いやすい環境は、アジアと米国だけです。他の地域は対面取引(店舗)におけるEMVICカード)取引が90%を超えているので、攻撃側はEMV化が遅れているアジアと米国を(まだ)狙ってきているのが、今回のカード情報販売(漏えい)の背景にあります。

 

世界のすべてのカード取引におけるEMV取引のシェア2019(statistaデータ引用)

f:id:foxcafelate:20200426055434p:plain

アジア太平洋地域(APAC)の中では、今回の韓国だけでなく、2019年10月にはインド(130万件)、2019年2月/2018年11月にはパキスタンのカードデータも大量に販売されています。同じAPACの日本市場の対面取引(POS端末)のカードデータを狙った攻撃についても、十分な警戒が必要です。

 

日本のEMV化については、少し古いデータになりますが、2015年当時のVisaのデータでは、POS端末(対面取引)でのICカード取引比率はわずか17%しかありませんでした(※つまり店舗での決済端末はほとんど磁気取引だけ)。

【特集】EMV再検証~ビザ・ワールドワイド・ジャパン~(2015年5・6月号) / CardWave online

ワールドワイドの市場において、EMV対応の端末でカードが処理されたトランザクションの比率は、POS(CCT:クレジット決済専用端末を含む)が74%、ATMも69%に達している(図)。日本はPOSが17%、ATMは0%という状況だ。米国もそれぞれ7%と3%しかない。ヨーロッパをはじめ、カナダ、アジア太平洋地域などは、いずれも高いレベルにある。

(CardWave記事より引用)

 

改正割賦販売法のガイドラインである実行計画において、対面加盟店の決済端末100%の目標は2020年3月までとなっていましたので、以前に比べて普及が進んだと思います。

 

この辺りは、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(実行計画2019)の後継文書である、「クレクレジットカード・セキュリティガイドライン」にも実行計画2019の取り組み結果が書かれてないので、統計データ根拠が無いのですが、”既に対応が終わった”(はず)とはみなされているとは言え、それでも対面加盟店でのEMV(ICカード)対応端末切替が終わってない所もまだ多いかも知れません。

 

米国では侵害を受けた多くの店舗チェーンがPCI DSS準拠(カードデータ非保持と比べて複合的なセキュリティ対策が必要)であったにも関わらず、カード情報を漏えいしています。

日本企業(対面加盟店)も磁気スキマー(マルウェア)の侵入や、決済サーバへの不正侵入に十分に留意すべきかと思います。

 

※まだ対応が終わってない対面加盟店は、以下のガイドライン(ポスト実行計画)に書かれている下記の様な内容を十分に理解して、切替が完了するまでの間に、複合的なリスク軽減策をとる事が必要かと思います。

f:id:foxcafelate:20200426061725p:plain

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ビニールシート越しにレジを打つ店員のイラスト

 

更新履歴

  • 2020年4月26日 AM(予約投稿)