チップアンドPINはターゲットの違反を防いだでしょうか?
チップアンドPINはターゲットの違反を防いだでしょうか?
ご存知のとおり、Targetが侵害され、ハッカーが大量のクレジットカード番号を盗みました。 Targetは現在、クレジットカードのセキュリティを向上させる方法として、チップアンドPINを提唱しています。これは私に不思議に思います。チップアンドPINが導入されていたとしたら、それは侵害を防いだでしょうか?それとも、攻撃はまだ可能でしたか(単に攻撃者にメソッドをわずかにシフトさせるだけです)?これは単なるPRですか、それともチップアンドPINは、ターゲット違反で見られる種類の攻撃に対して大きな違いをもたらしたでしょうか?
ターゲットの侵害では、攻撃者がターゲットのPOS端末(1つだけでなく、すべて)を侵害できたことを思い出してください。攻撃者がPOS端末を制御する脅威モデルでは、チップアンドPINは安全ですか?
クレジットカードにチップおよび磁気ストライプ(レガシーシステムとの下位互換性のため)の両方が含まれているかどうか、またはチップのみが含まれている(下位互換性がない)かどうかによって異なりますか?私の印象では、これが展開される方法は次のとおりです。まず、チップとPINの両方と従来の磁気ストライプをサポートするクレジットカードがあります。その後、しばらくして、チップとPIN端末が十分に展開されると、クレジットカード会社は、チップのみを備え、磁気ストライプを備えていないクレジットカードの提供を開始する可能性があります。それは分析に影響しますか?たとえば、クレジットカードにチップと磁気ストライプの両方が搭載されている場合、POS端末が侵害された場合、クレジットカード番号とCVVが磁気ストライプから盗まれてカードのクローンが作成される可能性がありますが、クレジットカードに搭載されているのはチップ、それから彼らはできませんでしたか?
それはあなたが「予防された」とはどういう意味かによります。
EMVは、カードとカード所有者の両方が存在するトランザクションにのみ使用されます。 カードが存在しない(CNP) トランザクションのセキュリティを向上させるようには設計されていません。これは、攻撃者が盗んだクレジットカードデータを使って何ができるかに影響を及ぼします。
物理的なトランザクション
今日、すべてのマーチャントとカードがEMVを排他的に使用している場合、盗まれた磁気ストライプデータは、物理トランザクションには価値がありません。クローン化された磁気ストライプ。
EMVトランザクションは、カードのチップと発行銀行の間で端末によって仲介される「会話」があるという意味でアクティブです。基本的に、銀行はカードに、カードから離れることのない暗号化キーを使用してトランザクションの詳細に署名するように依頼します。したがって、EMVカードのコピーを作成することは不可能であると見なされます。 (磁気ストライプカードはパッシブであり、磁気ストライプの内容を知っている人は誰でもトランザクションを承認できます。そのような複製を作成するのは簡単です。カード。)
残念ながら、EMVは広く普及していますが、それでもユビキタスではありません。地球上にマグストライプのみのATMまたはマーチャントが1つ残っている限り、カードには引き続き磁気ストライプが装備され、スキミングは引き続き問題になります。
リモート(CNP)トランザクション
問題は、磁気ストライプのクレジットカードの詳細がCNPトランザクションにも使用される場合があることです。 CNPトランザクションには通常、カード番号、カード所有者名、および有効期限が必要です。これらの値はすべて、磁気ストライプにも保存されます。この問題に対処するために、カードネットワークは CVC2/CVV2 ;を設計しました。カードにのみ印刷され、磁気ストライプデータには含まれない番号。
ただし、すべてのマーチャントがその値を使用するわけではありません。たとえば、Amazon(少なくとも私の国では)はそれを必要としません。したがって、カードスキミング攻撃を実行している人は、キャプチャされたカードの詳細を使用して、CVC2/CVV2を必要としないオンラインまたは電話/通信販売業者で不正な購入を行うことができます。
そうではないようです。
ブライアンクレブスの記事からの引用 ターゲット違反、数字による (私の強調):
0 –チップアンドPIN対応の端末が、ターゲットが侵害の前にテクノロジーを導入していれば(終わりなく)、悪意のある人物が盗むのを防ぐことができたであろう顧客カードの数-カードデータのエンドツーエンド暗号化、カード番号と有効期限は引き続き盗まれ、オンライントランザクションで使用される可能性があります)。