PayPay の不正利用はブルートフォースアタックの可能性あり
SNS で PayPay による不正利用が騒がれていた。
PayPayには「名前入力欄がない」・「入力回数制限がない」といったセキュリティが二の次になっているところがある。
#Kyash と #PayPay の違い
— まきえたん @ 31日月東-1I32b (@makietanX) 2018年12月16日
まず名前欄がないよね PayPay pic.twitter.com/5uH4Yid96w
Apple Pay は当然名前入力ある pic.twitter.com/ljD2UHuIA3
— まきえたん @ 31日月東-1I32b (@makietanX) 2018年12月16日
名前に関してはブルートフォースアタックで探し出すのは非常に難しい。 しかも、難しい名前の場合は基本的に当たらない。 その要素を排除してしまったことは大きな問題だ。 ただの数字だけだと簡単にバレる。 0-9の10通りしかない。 セキュリティコードはたった1000通り。 クレジットカードは12桁なので1000000000000通り。 有効期限は多めに5年くらいで交換になることを考えて60通り。 これをかけ合わせた通りを突破するだけでいい 人が手作業でやると時間がかかるが、機械的にやれば簡単に突破できる。
PayPay は名前なしよりひどいのが回数制限だから
— まきえたん @ 31日月東-1I32b (@makietanX) 2018年12月16日
てか、現状のクレジットカードの総当たり攻撃防御方法が回数制限しかないってのが超問題だよな...
ブルートフォースアタックの対処法はパスワードの管理方法がメインとなるが、クレジットカードのような識別子が固定されているものの場合は、回数制限を設けるくらいしか対処法がない。今回はそれが実施されていないことが問題であるとされている。
3DセキュアやSMS認証、アプリ認証等の多要素認証がもっと盛んに利用されて悪質な行為に立ち向かう必要がある。
大変だ。