2022/02/15

※本記事は株式会社アクル（Akuru,Inc.）「KNOWLEDGE」掲載記事の転載です。

クレジットカード番号の規則性をもとに有効なカード番号を類推する大量アタック、クレジットマスターという不正の手口ですが、この被害がEC業界で非常に増加傾向にあります。

クレジットカード番号の規則性をもとに有効なカード番号を類推する大量アタック、クレジットマスターという不正の手口ですが、この被害がEC業界で非常に増加傾向にあります。

この記事の目次

• 不正利用におけるカード情報はどこから漏れているのか?
• クレジットマスター、手口のおさらい
• 昨今のクレジットマスターの手口の特徴
• 被害が増えた先に起きること
• 個人情報の漏洩事故に繋がってしまう懸念

日本クレジット協会の主導により、クレジットカード業界ではセキュリティ基準の強化について議論され、毎年ガイドラインが更新されています。この取り組みにより、カード加盟店や決済代行会社は、より高度なセキュリティ環境でのカード情報管理体制を運用しています。

しかし、ECサイトの現場レベルでは、こうした取り組みにもかかわらず、不正に入手した他人のクレジットカード情報により不正な決済を働く事例が後をたちません。
これらのカード情報がどこから漏れてしまっているのか。別のブログ記事で解説していますが、今回は異なる手口、昨今増加傾向にあるクレジットマスターについて解説します。

ロッカーや郵便受けにある3桁の暗証番号を忘れてしまった場合、111から999まで順番に回して正解を探した経験、皆さんも1度はあるのではないでしょうか。

同じ発想で、クレジットカード番号も14-16桁の数字である以上、順番に当てていけばいつかは実在するものと一致することになります。3桁または4桁のセキュリティーコード、年月の数字4桁を入力する有効期限も同様です。

自社ECサイトの決済ページが、誰かのクレジットカード情報の割り出しのために悪用されてしまうのです。

数年前はこうした機械的なアタックは、1日あたり数万件から数百万件の規模で集中するため、非常に目立つものでした。 しかし、昨今の機械的アタックは1分間にアクセス3件、など意図的に間隔を設けるなど手口が巧妙化しています。1つのECサイトへのアタックではなく、複数のECサイトに対してアクセスを分散させる手口も耳にします。分散により気付かれにくくするためです。他にも気付かれにくくする狙いが垣間見える特徴として、土日・深夜帯でのアタックが多い点も挙げられます。 ECサイト（カード加盟店）の立場では、目立った経済的な実損が発生しません。システムによる与信処理料が少し増えるのみです。そのため、加盟店側でアタックの発生自体を認知していないケースも多くあります。

このクレジットマスターによるアタックを防げないとどうなるのでしょうか。

まずECサイト側（カード加盟店）では、大量のオーソリゼーションリクエスト（1件だけ承認、残り数万件は非承認）の件数が膨大な数になるため、本来は不要なシステム処理料が一時的に増大してしまいます。

クレジットマスターの対策も講じなければならない理由は以下の2点になります。

ECサイトの決済システムを一時的に停止しなければならない懸念がある
アタックを受けると、カード会社や決済代行会社、カードブランドから、再発防止策がない限り決済システムを停止するよう、指摘を受けてしまうことがあります。

クレジットマスターのアタックと個人情報漏洩事故とは直接的に繋がっていないようで繋がっています。こうした機械的なアタックを放置してしまうと、犯罪者グループから「セキュリティ対策が甘いサイト」と認識されてしまいます。

ECシステムの脆弱性を探されてしまい、最終的にはログインIDとパスワード、顧客情報などハッキングの被害に遭ってしまう可能性が高いのです

。

当社で提供しているASUKA、元々は第三者によるカード不正利用対策を目的としていましたが、実はこうしたクレジットマスターによるアタックも防ぐことができていた実績もあり、アタック対策として検討頂くことも増えてきています。それだけアタックの母数が増加していると言えます。