クレジットカード情報

第8弾

クレジットカード情報漏洩の手口の動向

難易度:★★☆☆☆

2018年6月に改正割賦販売法が施行され、クレジットカード情報の非保持化が法律で義務付けられました。しかし、それ以降もクレジットカード情報漏洩は減るどころかむしろ増加しています。
この動画ではECサイトからのクレジットカード情報漏洩手口の変遷について説明します。
また、今後の動画にて、各漏洩手口についてデモにて紹介する予定です。

動画:クレジットカード情報漏洩の手口の動向

第9弾

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

難易度:★★★☆☆

クレジットカード情報を入力する画面に外部からJavaScriptを注入して、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2013年3月から使われているもので、現在のカード情報盗み出しの主流の手口です。
以下の記事ではType4と分類している方法です。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

動画:偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

第10弾

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

難易度:★★★☆☆

偽造したクレジットカード情報入力画面に誘導することで、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2018年7月から使われているもので、現在のカード情報盗み出しの主流の手口の一つです。
以下の記事ではType5と分類している方法です。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

動画:偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

第11弾

ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

難易度:★★★☆☆

ウェブサイトのログに保存されているカード情報を盗み出すデモンストレーションです。
今回は化石のような攻撃方法SSIインジェクションを用いました。
SSIインジェクション自体は今やほとんど成功しないと思いますが、当然ながら悪用厳禁です。
ログファイルからの盗み出しは以下の記事ではType2と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

動画:ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

第12弾

SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

難易度:★★☆☆☆

ウェブサイトのデータベースに保存されているカード情報をSQLインジェクションにより盗み出すデモンストレーションです。
このような攻撃は今日成功しない状況ですが、当然ながら悪用厳禁です。
SQLインジェクションによるカード情報の盗み出しは以下の記事ではType1と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

動画:SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

第13弾

DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

難易度:★★☆☆☆

データベースに保存されているカード情報をバックドア経由で盗み出すデモンストレーションです。
今回はECサイトの管理者パスワードが弱かったという想定でバックドアを設置します。
ログファイルからの盗み出しは以下の記事ではType3と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

動画:DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

一覧に戻る