クレジットマスターアタックとは、カードの規則性を利用して他人のカード番号を取得する不正行為です。 10年以上前から頻発していた不正ですが、手口も年々変化しています。最近の傾向とともに、クレジットマスターアタックを受けた場合の事業者側の被害や対策について解説します。
目次
クレジットマスターアタックとは?
クレジットマスターアタックとは、カードの桁数などの規則性を利用し、他人のカード番号を不正に取得する行為を指します。主にプログラムやソフトウエアなどで自動的に計算して生成された番号が有効であるかを特定するために、ECサイトの決済ページを悪用してクレジットカード決済が通れば「有効なカード番号」、あるいは「有効なセキュリティコード」であるとみなし、クレジットカードの有効性を確認する手法です。クレジットマスターアタックによって特定されたカード番号は、他のECサイト等で不正利用されてしまいます。
クレジットマスターアタックの手口
クレジットマスターアタックは、カード番号の規則性を利用して有効なカード番号を割り出します。
カード番号は"ISO/IEC 7812"と呼ばれる規格と"BIN"と呼ばれる銀行識別番号によって生成されているため、ある程度の目星を付けてクレジットカード番号を生成し、セキュリティコード、有効期限と組み合わせて何度もテストをすることで番号が割り出されてしまいます。
クレジットマスターアタックの経緯
クレジットマスターアタックは2000年代半ばから後半にかけて頻発しましたが、クレジットマスターによるアタックは短期間に集中し大量アクセスを行うため、すぐに遮断されるリスクもあります。そのため、クレジットマスターアタックを仕掛けるよりも、ダークウェブなどで既に特定されている他人のカード情報を不正に取得するほうが効率良く、近年クレジットマスターによる被害は、全体的に減少傾向にありました。
最近の傾向
減少傾向だったクレジットマスターによるアタックですが再度増加しており、その流れは引き続き継続しております。下記は「一般社団法人 日本クレジット協会」が発表したクレジットカード番号盗用による被害額ですが、2016年には国内で54.6億円だったものが2021年には235.2億円と、5年で大幅に増加しています。
引用:日本のクレジット統計
最近では「物販サイト」におけるアタックが増えており、また、1日に数百件から数千件レベルでの被害も増えています。以前は一気に、集中的にといったものが多かったのですが、間をおいてのアタックも主流で、プログラムによる大量アタックの他、人的なアタックも散見されています。
クレジットマスターアタックにより発生する被害
クレジットマスターアタックの仕組みや直近の傾向について解説しましたが、ここからはクレジットマスターアタックを受けた事業者側の被害について解説します。
オーソリゼーションの大量発生による手数料負担増加
クレジットマスターアタックの被害を受けるとオーソリゼーションが大量に発生します。オーソリゼーションとは「お客さまのクレジットカードで決済できるかを確認する作業」で、日本語では、「信用承認」「販売承認」などと訳され、お客さまのクレジットカードが有効かどうかや、利用限度額に達していないかなどをカード会社が確認し、その上でクレジットカードのご利用枠を確保する処理のことです。このオーソリゼーションが発生すると、事業者は決済手数料を支払わなければなりません。そのためクレジットマスターアタックを受け、オーソリゼーションが大量に発生すると、事業者の手数料負担が増加します。
オーソリゼーションについては以下記事で詳しく解説しております。
オーソリ(オーソリゼーション)とは?クレジットカード決済において必要な理由
不正被害の増加
クレジットマスターアタックによる不正行為が発生してしまった場合、犯罪グループに「セキュリティ対策の甘い」サイトと認識されやすくなります。
一度でも犯罪グループに目をつけられると、数千から数万件の不正アクセスを受ける可能性があり、さらなる不正行為が発生してしまう恐れがあります。
不正被害については以下記事でも詳しく解説しております。
コロナ禍における不正利用の傾向と、そもそも不正検知サービスとは?
クレジットカードの不正使用被害とその対策
販売機会の損失
クレジットマスターアタックの傾向として、はじめは1日数十件、数百件のアタックですが、何も対策がされていないとどんどん増えていきます。最終的には数十万件のアタックへと膨らみ、それほど大量のアタックを受けてしまうと、サーバー負荷の影響含めカード決済をストップしなければならない可能性があります。オーソリゼーションの負担に加え、そのストップした期間の機会損失も合わせれば相当な被害につながります。
不正利用対策については、以下の記事で詳しく説明しております。
SBペイメントサービス、「AI不正検知」でクレマス対策 決済前・中・後に応じた幅広い不正対策提供 | 日本ネット経済新聞
クレジットマスターアタックへの対策
クレジットマスターアタックの被害について解説しましたが、具体的にどのような対策をすればよいか、ここからはクレジットマスターアタックへの対策を4つ紹介いたします。
bot対策を行う(reCAPTCHAの導入)
クレジットマスターアタックはbotと呼ばれる決められた処理を自動で実行するプログラムなどによって機械的に集中アタックをされるのが主流です。そのbot対策としてはreCAPTCHAの導入が代表的な対策となります。reCAPTCHAは、お問い合わせフォームの送信画面やログイン画面で、「私はロボットではありません」の文言とともに表示されるチェックボックスで、決済画面などサイト内にフォームを設置するとbotによる攻撃を受ける可能性がありますが、reCAPTCHAはそのような攻撃を防ぐために用いるツールです。
ただし人の手によってクレジットマスターアタックが行われた場合は認証をパスされる可能性が高いため、bot対策だけで完全に防ぐことはできません。
入力制限を設ける
入力制限を設けることでクレジットマスターによる大量アタックを防止できます。クレジットマスターは規則性をもとに考えられるカード番号をフォームに大量入力して不正利用する行為のため、入力制限を設けることは対策として有効です。ただし正規利用者が連続で入力ミスをした場合もブロックしてしまうため、途中で購入手続きをやめてしまう「カゴ落ち」のリスクもあります。
また、Web Application Firewall(WAF)によって、入力情報を解析・検査し、不正入力と判断した通信を遮断することが可能ですが、IPアドレスをベースに一定基準で弾いたりしているため、別のIPアドレスで再度アタックを仕掛けられた場合は通過してしまうなど、効果としては時限的なケースがあります。
不正注文検知システムを導入する
クレジットマスターを防ぐならbot対策と同時に、人間による不正行為を発見しブロックする不正注文検知システムの導入が効果的です。たとえば不正注文検知システムを導入すると以下のような対策を行えます。
- ・通常と異なるデバイスから注文が入ったり配達先が普段と異なったりした場合、追加認証を行ったり注文をブロックしたりする
- ・蓄積されたデータを活用し、不正が疑われる注文をリアルタイムで検知する
この他にも、転売屋による不正注文を防いだり、なりすましによる同一人物の複数アカウント取得を防いだりすることも可能です。
不正注文検知システムを導入するために開発が必要なケースがありますが、ECカートシステムを利用してECサイトを運営している場合、ECカートシステムによっては不正注文検知システムを標準連携しており、開発が不要なケースもあるので、不正注文検知システムの導入を検討される場合は、ご利用中のECカートシステム側に確認することをおすすめします。
SBペイメントサービスでも不正検知ソリューション「AI不正検知」を提供しております。
スタンダードプランでは、クレジットマスターアタック対策に特化したデフォルトルールを設定でき、繰り返し実行される一定の取り引きを自動的にブロックすることが可能です。
AI不正検知
決済情報と機械学習を用いてクレジットカード決済の不正利用を検知します!
本人認証サービスの3Dセキュアを利用する
本人認証サービスである3Dセキュアを導入するのも一つの対策となります。3Dセキュアとは、オンライン上でのクレジットカードの不正利用を防ぐための本人認証システムです。特に「EMV 3-Dセキュア」を導入すれば、不正利用と判定された取引のみクレジットカード利用時にワンタイムパスワードの発行や生体認証(指紋・瞳など)、所有者が設定したパスワードが必要になるため、カゴ落ちのリスクを軽減しつつ、不正利用の対策も可能です。ただし、reCAPTCHAの導入と同じように、人の手によって不正が行われた場合は、認証をパスされる可能性があるので、他の対策も合わせて導入するのが安全です。
3Dセキュアについては以下の記事でも詳しく解説しております。
本人認証(EMV 3-Dセキュア)導入が義務化?義務化の背景やEC事業者がとるべき対策とは
3Dセキュアとは?メリットやデメリット、決済手順を解説
クレジットマスターアタックの対策はSBペイメントサービスにご相談ください。
クレジットマスターアタックの対策は、重層的な対策が必要になります。そのため、セキュリティソリューションを提供している専門家への相談が効果的です。SBペイメントサービスは、クレジットマスターアタックの対策として紹介した、「AI不正検知」や「EMV 3-Dセキュア」を提供しております。
クレジットマスターアタックの対策をご検討する際には、ぜひSBペイメントサービスへご相談ください。
AI不正検知
決済情報と機械学習を用いてクレジットカード決済の不正利用を検知します!
本人認証サービス
インターネット上でクレジットカード決済をより安全に行うことを目的に、各カードブランド(VISA、MasterCard、JCB)が提供する本人認証サービスが、3Dセキュアです。