2023/06/19
2022年のクレジットカード不正利用の被害額は、年間約436億円※に上り、統計開始以来最悪となりました。その不正利用につながるクレジットカード情報詐取の手口の一つが「クレジットマスター」といわれる手法です。現在、業種商材に関わらず被害が急増しており、EC事業者は、早急な対策を講じることが重要です。
本記事では、クレジットマスターの不正アクセスを受けるとどのような被害が生じるのか、また、その対策についてご紹介します。
この記事の目次
クレジットマスターとは?
クレジットマスターとはクレジットカード番号の規則性を利用し、機械的にカード番号を生成して他人のカード番号を割り出す攻撃の手口です。
ECサイトに対し、プログラムによるランダムな大量アタックを行うことで、有効なカード情報を見つけ出し詐取します。これがカード情報の漏えいとなり、さまざまなサイトでのクレジットカード情報の不正利用につながっています。
ECサイトでの被害
実際にECサイトがクレジットマスターの被害に遭うと、どんな影響を及ぼすのでしょうか。
サイトを運営するEC事業者は、売上に損害が出るばかりか、大切な顧客の信頼を失ってしまうことになります。さらに個人情報が流出してしまうため、他のサイトでも不正に利用されるなど、その被害は顧客や他の事業者へと拡大し、社会的にも悪影響を及ぼしてしまいます。
以下にクレジットマスターによる具体的な被害の内容を解説します。
不正利用被害の発生
クレジットカード情報の不正利用で商品を詐取するため、売上につながらず、チャージバックも発生してしまいます。
システム負荷増大による売上機会の逸失
大量アクセスによりシステム負荷が増大し、注文や決済の処理に遅延が発生することで顧客が離脱したり、受注ができなくなったりする可能性があります。
高負荷はシステムダウンにもつながり、ECサイトが利用できなくなるケースや、大量アクセスを確認した決済代行会社やカード会社から、カード決済の停止を求められることもあります。そうなれば、その間の受注はできないため、大きな損失につながります。
さらに決済や注文受付ができなかった顧客からの問い合わせ対応に追われることになりかねません。
売上にならないトランザクション費用の高額請求
カード情報を割り出すための有効性チェックが大量に発生することで、高額なトランザクション費用が請求されてしまいます。
個人情報の漏えい
不正者に顧客のカード情報が渡ることは、個人情報の漏えいにあたります。詐取されたカード情報は他のさまざまなサイトで不正利用され、被害の拡大につながります。
顧客の信頼低下
通常利用していたECサイトやクレジットカード決済が利用できなくなれば、顧客からの信頼は低下し、顧客離れの大きな要因となります。
EC事業者が被害に遭わないための自衛対策
クレジットマスターの被害に遭わないための対策としては、一次対応と恒常的な対応の2つの側面から対策を考える必要があります。
以下に詳しく説明します。
一次対応
| 対策 | 内容 |
|---|---|
| 不審なIPアドレスからのアクセス制限 | 不審なIPアドレスを特定し、アクセス制限を実施する。 |
| 不審なユーザーアカウントの停止 | 不正が疑われる取引に紐づくアカウントやメールアドレスなどを特定し、停止する |
ツールを利用した恒常的な対応
| 対策 | 内容 |
|---|---|
| EMV-3Dセキュア認証 | 国際カードブランドが推奨する本人認証サービス。クレジットカード利用者の決済情報などをベースに、リスクが高いと判断される取引にのみ、端末認証やワンタイムパスワード、生体認証などの追加認証を実施(リスクベース認証)。かご落ちを防止しつつ、安全な取引が可能。また、不正利用が発生した場合、チャージバックが免除される。 |
| デバイス認証 | IPアドレスや個別端末情報などのデバイス情報を取得し、不正利用と判断したデバイスを制御する。 |
| 振る舞い認証 | あらかじめ設定した条件の数値を超えた際に特定の取引を制御する。 - 特定のIPアドレス、アカウント、カード番号等を使用した取引数 - 特定の電子メールアドレス・デバイスIDに対する使用カード数 - 特定のカードに対するIPアドレス数 |
| キャプチャ認証 | 画面に文字・数字・写真等を表示し、同項を入力させる画像認証を行う |
| 券面認証(セキュリティーコード) | カード情報入力とともにセキュリティーコードを追加入力させる。 |
モニタリングによる恒常的な対応
| 対策 | 内容 |
|---|---|
| ログインエラーのモニタリング | 誤ったユーザー名/パスワードによってログインエラーとなったアカウントをブロックする |
| 高リスク取引に対するレビュー | 一定の条件に合致した取引を高リスク取引として厳格なチェックを行う。 - 会員の属性と異なるタイムゾーンやブラウザ言語を示すIPアドレスおよびデバイス情報に紐づいた取引 - 複数の未決済取引があるIPアドレス - 不審なパスワードを使用したログインが実施されたアカウント |
| 高リスクカード番号帯に対する措置 | 海外からの不正決済など、特にリスクが高いと判断されたカード番号帯についてはオーソリ送信の際に一時停止を行う。 |
まとめ
不正者はあらゆるサイトを無作為に攻撃してきます。「自分のサイトは大丈夫」と考えずに、上記の自衛対策を早急に施すことが重要です。
記事で紹介した複数の対策を、包括して実施できるソリューションとして「不正検知サービス」があります。
当社では、それぞれのEC事業者の業態にあった複数の不正検知サービスを提供していますので、お気軽にお問い合わせください。
※出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について 』(2023年3月31日発表)
お問い合わせ