クレジットマスターアタックについて
まずはクレジットマスターアタックの概要や主な手口、近年の傾向などを解説します。
クレジットマスターアタックとは
クレジットマスターアタックとは、クレジットカード番号の規則性を悪用して不正にカード情報を盗み出す手法です。クレジットカードは特定の規則によってカード番号が割り当てられているため、その規則性から不正利用できるカードを割り出します。
国内では、1999年頃からクレジットマスターアタックによる被害が発生しています。クレジットマスターアタックはクレジットカードが紛失・盗難に遭わなくてもカード情報を盗まれる恐れがあるため、ユーザー側で対策しきれないことが難点です。
ただしECサイト側は対策の余地があるので、カードの不正利用を回避するためには適切な対応を行う必要があります。
クレジットマスターアタックの手口
クレジットマスターアタックの具体的な手口は、クレジットカードに割り当てられた番号を特定の規則性をもとに特定することです。
カード番号は、国際規格の「ISO/IEC 7812」によってルール化されており、発行者識別番号の「BINコード」とカード番号7桁目から最後の1桁までの会員口座番号、右端の数字の「チェックデジット」によって生成されています。
カード番号はそれぞれに割り当てられた数字で構成されるため、発行者識別番号がわかれば会員口座番号の組み合わせを繰り返し試すことで割り出せてしまいます。
発行者識別番号はクレジットカード会社によって割り当てられているので、ある程度推測で生成することが可能です。そのため、カード番号とカードの有効期限を入力するだけで利用できるECサイトは認証を突破しやすいため、悪用されるケースも多いといえます。
クレジットマスターアタックは近年急増している
近年クレジットカード番号の盗用による被害は拡大しつつあり、2023年以降はEC事業者を狙ったクレジットマスターアタックの被害が急増しています。
株式会社アクルの調査によると、2021年12月~2023年7月末にかけてクレジットマスターアタックによる被害は毎年増加傾向にあることがわかりました。
年間の被害件数は2021年が3万件程度であったのに対し、2022年は約60万件、2023年は7月末時点ではすでに140万件を超えるペースで増加しています。特に年末年始をはじめとする大型連休に発生件数が多く、10万件以上の被害が出ています。
セキュリティが脆弱なECサイトはクレジットマスターアタックに狙われるリスクが高いため、対策を強化する必要性が増しているといえるでしょう。
参照:PR TIMES「クレジットマスターアタック(大量アタック)被害が急増!21年比で上半期の被害件数が年間約109倍ペースで上昇」
クレジットマスターアタックの変遷
クレジットマスターアタックは2000年代後半に多くの被害が確認されていたものの、その後は減少傾向にありました。
なぜなら、クレジットカード番号を盗用するためには短期間に特定のサイトへ繰り返しアクセスする必要があり、セキュリティシステムが外部からの大量アクセスを検知すればすぐに遮断するからです。
その後の傾向としてはダークウェブを介して他人のカード番号やカード情報を入手し、クレジットカードを不正利用するケースが増えました。しかし、近年になり再びクレジットマスターアタックの被害が急増しているため、EC事業者としては傾向に合わせたセキュリティ対策を常に求められているような状態が続いています。
クレジットマスターアタックによる主な被害
クレジットマスターアタックはEC事業者への直接的な被害も大きいといえます。実際に想定される主な被害を見てみましょう。
手数料の増加
クレジットマスターアタックによる被害として、カード決済のたびに発生する手数料の増加が挙げられます。ECサイトの利用者がカード決済を選択した場合、決済手続きを行うたびにEC事業者はクレジットカード会社へ手数料を支払わなければなりません。
決済に利用できるカードかどうか確認する承認作業のことを「オーソリゼーション」といいます。クレジットマスターアタックの被害に遭えばオーソリゼーションのたびに、EC事業者に決済手数料を請求されます。
クレジットマスターアタックによる攻撃を受けるとオーソリゼーションが数万件繰り返される場合もあり、EC事業者は多額の手数料を負担することになりかねません。
アクセス集中による販売機会の損失
ECサイトに不正アクセスが集中することで販売機会を損失する恐れもあります。クレジットマスターアタックは短期的に大量の不正アクセスを行って、カード番号を盗用する手法です。そのため標的にされたECサイトのシステムに大きな負荷がかかり、一時的にサーバーがダウンするリスクがあります。
運営しているECサイトのセキュリティ対策が弱い場合、クレジットマスターアタックにより数十件から数百件、数万件といった不正アクセスが急増する恐れがあるでしょう。
クレジットマスターアタックの大量アクセスによりシステムがダウンすると、利用者が商品を購入したくても注文や決済に対応できなくなります。その間ECサイト側は営業が一切できなくなるため、販売機会を失いかねません。
不正利用の被害が増える
一度不正利用が成立してしまうと、セキュリティが弱いECサイトと認識されてさらに不正アクセスが増える恐れがあります。また、クレジットカードの所有者になりすまして商品が購入された場合、ECサイト側が商品を発送したとしても代金は回収できないでしょう。
なぜなら不正利用によるカード決済はキャンセルされ、ECサイト側が受け取った商品代金をカード所有者に返金しなければならないからです。この仕組みをチャージバックといいます。ECサイト運営にはチャージバック対策も必要なため、詳細は以下の記事をご覧ください。
チャージバックとは?EC事業者に必須の対策方法や仕組みを解説
個人情報の漏えい
クレジットマスターアタックによる被害は顧客の個人情報の漏えいにあたるため、EC事業者の信用にも悪影響を及ぼします。盗用されたカード番号がさまざまなサイトで不正利用されれば、さらに被害は拡大するでしょう。
EC事業者は顧客から預かった個人情報を外部流出させたことで、顧客からの信頼を失う恐れがあります。セキュリティが脆弱なサイトというイメージがついてしまうとユーザーは安心してサイトを利用できないため、顧客離れが進んでしまうでしょう。
クレジットマスターアタックへの対策
クレジットカード情報を扱うEC事業者は、顧客を守るためにも不正利用への対策が法令で義務付けられています。クレジットマスターアタックに有効な対策を具体的に紹介します。
参照:経済産業省「クレジットカード番号等不正利用対策の強化」
3Dセキュアを導入する
3Dセキュアの導入はクレジットマスターアタックへの対策のひとつです。3Dセキュアは不正利用の疑いがある取引のみ、ワンタイムパスワードや生体認証などによる本人確認を行う本人認証システムです。
3Dセキュアは、まずユーザーが利用するデバイス情報を使用して不正利用かどうかの判断を素早く行います。不正利用のリスクが高い取引にはセキュリティの高い本人認証を要求し、本人でしかクリアできない認証を行う仕組みです。
3Dセキュアは安全性が高いと判断できる取引は通常どおりの認証で対応するため、ユーザーに手間をかけさせずカゴ落ちのリスクも軽減できます。カゴ落ちとは、ECサイト内のカートに購入を検討している商品を保存したまま購入に至らない状態を指します。
3Dセキュアの詳細や導入方法は以下の記事もご覧ください。
※2025年4月より3Dセキュアの導入が義務化されました。
3Dセキュア2.0(本人認証サービス)とは?決済方法や使えるカード会社も解説
bot対策を行う
reCAPTCHAの導入は、botを利用したクレジットマスターアタックの対策につながります。クレジットマスターアタックは自動的に設定されたプログラムを実行する、botを悪用して不正アクセスを行います。
reCAPTCHAは、決済ページに「私はロボットではありません」のチェックボックスを表示させたり、複数の画像を表示して該当するものを選択させたりできるセキュリティツールです。
クリックによる操作が必要なため、botによる不正アクセスを回避できます。ただしbot対策を行っても人の手による不正利用は完全に防げないため、ほかのセキュリティ対策も併用することをおすすめします。
入力回数を制限する
ECサイトの決済ページでカード情報を入力する回数を制限すれば、クレジットマスターアタックの防止に効果的です。クレジットマスターアタックはクレジットカードの有効性を認識するまで不正アクセスを続ける手法であるため、入力回数を制限すればカード情報の盗用やサーバーダウンのリスクが減少します。
ただし利用者が単純な入力ミスを繰り返した場合も、入力できないようにブロックされてしまいます。その場合カゴ落ちのリスクが高まるため、それぞれのリスクを考慮したうえで導入を検討しましょう。
不正検知システムを活用する
不正検知システムを活用することでbot対策にくわえて、人の手による不正アクセスも防止できます。bot対策は自動プログラムによる不正アクセスは防げるものの、手動による不正行為はブロックできません。
その点、不正検知システムであればbot対策をしながら、人の手による不正アクセスもブロックできます。不正検知システムでは以下のような対応が可能です。
- 転売による不正注文をブロックする
- 追加認証を要求し、認証できない注文をブロックする
- 蓄積したデータをもとに不正の疑いがある取引をリアルタイムで検知する
不正検知システムは独自開発もできますが、標準搭載されているECカートシステムを利用すればすぐにでも導入できます。クレジットカードの不正検知システムの詳細は以下の記事をご覧ください。
クレジットカードの不正検知システムとは?ECサイト運営には必須
その他クレジットマスターアタックに有効な対策
3Dセキュアやbot対策などのほかにも、以下のようにクレジットマスターアタックに有効なセキュリティ対策は複数あります。
- 不審なIPアドレスからのアクセスを制限する
- 不正が疑われる取引をしたアカウントを停止する
- キャプチャ認証を導入する
- 券面認証を導入する
不正な取引を繰り返すIPアドレスを特定したうえでアクセスを制限すれば、クレジットマスターアタックのような不正アクセスを防げます。また、不正な取引の疑いがあるアカウントやメールアドレスを特定して、利用を停止する対策も有効です。
キャプチャ認証とは、文字や数字などを表示して同じ文字・数字の入力を画面上で要求し、画像による認証を行う方法を指します。券面認証は、クレジットカードの裏面に記載されたセキュリティコードを追加して入力する方法です。
クレジットマスターアタックに有効な対策はさまざまな方法があるため、ECサイトとの相性や想定されるリスクに備えられる対策を組み合わせるとよいでしょう。
クレジットマスターアタックの被害を受けたら
ECサイトを運営するなら、クレジットマスターアタックの被害に遭った場合の対策も事前に把握しておきましょう。
1. カード会社や購入者に連絡する
不正利用の疑いがある注文を受けた際はクレジットカード会社や購入者に連絡をとり、カード所有者本人の利用であることを確認します。カード会社や購入者への連絡が必要なケースとして、購入履歴のない高額商品の大量注文が入った場合や配送先の住所がいつもと異なる場合が挙げられます。
商品の発送後に不正取引と気づいても商品代金を回収するのは難しいでしょう。注文を受けた時点で不正取引のリスクを感じた場合は、発送前にカード会社や購入者に確認をとりましょう。
2. カード決済を一時停止する
前項の注文確認により不正利用と判断された場合は、クレジットカード決済の一時停止を検討するのもひとつの方法です。カード決済を一時停止しないとチャージバックや決済手数料が発生する恐れがあります。
また、不正利用できるサイトとして認識されることで今後も不正アクセスが増加し、チャージバックによる商品代金の負担や、決済手続きのたびに高額な手数料を請求されてしまうリスクもあるでしょう。セキュリティ状況を見直し、十分に対策を講じてからカード決済の一時停止を解除しましょう。
3. 不正対策を講じる
セキュリティが弱いことが原因で不正利用の被害を受けた場合は、ECサイトのセキュリティを強化する必要があります。先述のとおり、適切な不正対策を行わなければ繰り返しクレジットマスターアタックの標的にされてしまうでしょう。
複数の対策を組み合わせて導入することで、より強固なセキュリティを確立できます。それぞれの対策の特徴やメリット・デメリットを考慮したうえで、適切な不正対策を実行しましょう。
クレジットマスターアタックは十分に対策すべき
顧客からの信頼を保ちながらECサイトを運営するためには、クレジットマスターアタックへの対策を行う必要があります。さまざまなセキュリティ対策があるなかでも、自社システムに簡単に対策を導入するならfincodeの利用がおすすめです。
fincodeは決済代行業者のGMOイプシロンが提供するサービスです。fincodeでは不正利用の防止対策として、国際基準に準拠した3Dセキュア2.0を無料で利用できます。
ほかにも強固なセキュリティと安心のサポートが充実しており、決済方法はカード情報を保持せずに利用できる、トークン決済とリダイレクト型決済の2つの方式から選択できます。また管理画面にログインする際は、ワンタイムパスワードを利用した二要素認証の利用が可能です。
セキュリティを高めて信頼性の高いECサイト運営を
クレジットマスターアタックの攻撃を受ければ、ECサイト側は商品代金の払い戻しや決済手数料の支払いが発生します。カード情報の流出によって顧客からの信用を失う恐れもあるため、自社サイトのセキュリティ体制を見直したうえで十分な対策を講じましょう。
セキュリティを高めて信頼性の高いシステムを構築するなら、GMOイプシロンの「fincode byGMO」がおすすめです。fincodeは強固なセキュリティにより国際基準に準拠した対策を行えるうえに、オンライン申し込みによりスピーディーに決済機能を導入できます。
fincodeでは完全無料で利用できるテスト環境を提供しているので、本格的な利用を決める前にまずは実際に使ってみたいと考える方はぜひ一度お試しください。