2021/09/15
※本記事は株式会社アクル(Akuru,Inc.)「KNOWLEDGE」掲載記事の転載です。
この記事の目次
チャージバックとは異なる不正アクセスの手口
クレジットマスターとは?
クレジットマスターとは、カードの規則性を利用し、他人のカード番号を取得するものです。主にプログラムによるランダムな大量アタックが一般的ですが、ECサイトを攻撃し、クレジットカード決済が通れば「有効なカード番号」であると確認する手口です。
特に2000年代半ばから後半にかけて頻発した経緯があります。
※流出したカード番号を不正に取得し、与信や有効性チェックの目的で大量アタックをかけるケースもありますが、今回は上記のようなプログラムによるランダムアタックで、有効なカード番号の取得、且つ短期間に数万~数十万件のアタックををかけるものを「クレジットマスター」として定義しています。
カード情報漏洩によるクレジットマスターの変遷
10年ほど前に頻発していたクレジットマスターによる不正の手口にも変遷があります。要因の一つは、個人情報漏洩によるクレジットカード番号の大量流出です。この流出したカード番号は、安いものであれば闇サイトで1枚2-3ドルで売買されています。
クレジットマスターによるアタックは短期間に集中し大量アクセスを行いますが、すぐに遮断されるリスクもあります。そこにかけるコストに比べると、巷から他人のカード情報を不正に「購入」するほうが、費用対効果がいいわけです。
その証拠に近年クレジットマスターによる被害は、全体的に減ってきていると言われていました。
クレジットマスターによるアタックの再興?
このいわば最近ではレガシーとなりつつあったクレジットマスターによるアタックですが、実は2018年に入って再度急増している傾向があります。アクルにも多くのご相談がきており、2019年に入ってもその流れは継続しています。
1日に数万件から数十万件のアタックを受けたカード加盟店さまからのご相談の中には、そのためにカード決済のストップを余儀なくされたこともありました。
クレジットカードの有効性チェックで狙われるサイトとは?
クレジットマスター含めクレジットカードの与信チェック(有効性チェック)でよく狙われるサイトの一つは、「寄付サイト」です。少額でも不自然ではないですし、もちろん寄付という行為は善意にもとづくものなので、決済件数が複数回にわたっても不自然ではないでしょう。
寄付サイト側は商品を配送することもありませんので、住所情報を神経質にチェックすることもありません。チャージバックが起こっても、物を失うという意味での「実損」もないわけです。そういった特性を理解し、狙ってきているのです。
ただ、昨年から特に気になることは、「物販サイト」でもそのクレジットマスターによるアタックが増えている傾向があることです。あるサイトでは、2日で20万件のアタックがありました。
もちろん相対的な事例は少ないですが「物販サイト」でもクレジットカードの与信チェック(有効性チェック)が行われてきているというのは驚きです。
具体的な対策はあるのか?
機械的なクレジットマスターであれば、たとえば「私はロボットではありません」で有名なreCaptureなどの画像認証によるセキュリテツールを実装することで解決するかもしれません。
ただし、人的な不正アタックは防げないのと、真正ユーザーに対しては「かご落ち」の要因になるかもしれません。
今や人的なアタックと、この機械的なアタックの双方からの攻撃リスクがあるため、この両方に対応する必要があると考えています。
双方に対応可能な「最適解」とは
実はアクルの不正防止・認証ツール「ASUKA」は双方のリスクに対応が可能です。
この「ASUKA」は、元々人的アタックによるチャージバック対策ツールとして開発されました。つまり、当初は機械的なクレジットマスター対策としては考えられていなかったのです。
ところが、ご相談が増えるにつれ、加盟店さまから「ASUKA」は双方の課題に対応しているのでは?と逆評価をいただいた経緯があります。おかげさまで、実際双方への対策としてご利用いただいている事例も増えてきております。
人的なアタックに加え、クレジットマスターによる被害に悩んでいる加盟店様は、是非アクルまでご相談いただければ、抜本的な解決策がご提案可能です。
「ASUKA」は、一つで双方の対策に有効なシンプルな不正対策ソリューションになります。詳しくはアクルまでお問合せください。
アクルホームページはこちら