Why some gift cards are still a gift to hackersSophos naked security |
プレゼントにも便利なギフトカード。残念なことに、ハッカーにとっても同様に便利であるという記事が英セキュリティベンダーSophosのnaked securityに寄稿者のTaylor Armerding氏によって掲載されている。
サンディエゴで9月3日まで開催された情報セキュリティのイベント「Toorcon」で、2年前よりギフトカードのハッキングを実験的に試みているペネトレーションテスト専門家のWill Caput氏が、「Cash in the Aisles: How gift cards are easily exploited」としてプレゼンを行なっている。
Caput氏は、ギフトカードは平均的なクレジットカードよりもセキュリティ機能が弱く、これがカードを現金のように価値あるものにしている。ギフトカードは大量生産され、固有の番号は予測できるパターンで割り振られる。組み込まれているセキュリティ機能も、詐欺対策のチップやPINなど限定的であることに警鐘を鳴らしている。
イベント「Toorcon」の公式ページ |
Caput氏が小売がカードの残高をチェックするのに利用するWebサイトを訪問し、総当たり攻撃ソフトウェア「Burp Intruder」で最後の4桁を試すと、10分もしないうちにどのカードにどれだけの残高があるのかがわかったという。
その情報をもとに、ハッカーは小売の電子商取引(EC)ページに行き、自由に使うことができる。Amazonで120ドルで購入した磁気テープ書き込みデバイスを使って、真っさらのプラスチックカードに書き込むこともできたとCaput氏は報告している。Caput氏はギフトカードを発行する小売業者にこの欠陥を知らせた。一部の業者はこれを深刻に受け止め、ユーザーがオンラインで残高をチェックできるWebページの提供を中止し、ユーザーに電話で確認するように変更するなど、さまざまな改善策を講じたという。
推奨される対策は複雑なものではない。CAPTCHA(画像で番号や英文字を表示し、プログラムではないことを示す対策)を使い、番号をスクラッチで覆うことだとしている。"大丈夫に違いない"という思い込みが抜け道を覆い隠しているケースは、IoTが普及していく時代には益々増えて行くであろうことは想像に難くない。