クレジットマスターアタックを放置していると起きる被害
クレジットマスターによるアタックを防げないとどうなるのでしょうか。
まずECサイト側(カード加盟店)では、大量のオーソリゼーションリクエスト(1件だけ承認、残り数万件は非承認)の件数が膨大な数になるため、本来は不要なシステム処理料が一時的に増大してしまいます。
クレジットマスターの対策も講じなければならない理由は以下の2点になります。
ECサイトの決済システムを一時的に停止しなければならない懸念がある
1日数十件、数百件のアタックが、野放しにしているとどんどん増えていく傾向です。最終的には数十万件のアタックへと膨らんでいきます。また、数十万件のアタックを受けてしまうと、サーバー負荷の影響もありカード決済をストップしなければならなくなります。あるいはカード会社から再発防止策がない限り決済システムを停止するようストップがかかるケースもあります。そのストップした、あるいはされた、期間の機会損失も合わせれば相当な被害になります。またカード決済をストップすることでカード情報の漏洩事故のようにとらえられてしまうという風評被害につながる可能性もあります。
個人情報の漏洩事故に繋がってしまう懸念
クレジットマスターのアタックと個人情報漏洩事故とは間接的に繋がっています。こうした機械的なアタックを放置してしまうと、犯罪者グループから「セキュリティ対策が甘いサイト」と認識されてしまいます。
ECシステムの脆弱性を探されてしまい、最終的にはログインIDとパスワード、顧客情報などハッキングの被害に遭ってしまう可能性が高いのです。
被害の傾向
クレジットマスターのアタックの実態はECの規模や商材との相関関係は少なくなってきています。年間取扱高が100億円超といった大規模ECサイトでも、月商100万円未満のECサイトでも、同じようにアタックは存在します。
強いて狙われやすさとの相関関係を挙げるとすると、規模や認知度よりもECの構成です。
決済完了に至るまでのECサイト上のページ遷移や、入力情報の量が少ないほど、アタック側としてはハードルが下がるためです。
会員登録手続きやEmail・SMS認証が必須のECサイトより、ゲスト購入の動線を設けているサイトの方がアタックを受けやすく、入力情報が少なければアタックを受けやすい、そういった傾向はあるようです。アタックを仕掛ける攻撃者側が効率的に作業ができるかどうかによりターゲットを選定していると推測できます。
クレジットマスターアタックの被害の兆候
まずは、自社のECサイトに対しアタックが来ているかどうか、被害の認知が重要です。認知する手段の一例を以下に紹介していきます。
カード決済におけるオーソリ承認率
一般的に、決済システムでオーソリ結果を確認することができますが、オーソリNGの比率が上がっていませんか?もし時系列で承認率が低下している兆候があるようなら、ECサイトの決済ページやカード情報の変更画面に対するアタックが発生している兆候です。
チャージバック率
チャージバックの金額ではなく、件数ベースでの比率の推移を確認します。ただし、クレジットマスターでは小額でアタックされる傾向が高いため、カード会社がチャージバックせずに負担している可能性があります。
小額決済が異様に多い
ECサイトで取り扱う商材の単価が低ければ、小額決済がたくさんあることは一般的です。しかし、自社の平均購入単価ラインと比較し、時間を開けて数百回の小額決済を繰り返す人物がいる、または人気の無い小額決済を購入する特定の人物がいるようであれば、アタックの兆候と言えるでしょう。
短期間にオーソリ失敗が集中している
真正カードホルダーがオーソリ失敗を発生させてしまうことはしばしば存在します。与信枠の欠如、カードの有効期限切れ、カード情報の入力誤りなどいくつかの理由が考えられます。しかし、オーソリ失敗が短い期間に集中しているようであれば、アタックの可能性が考えられます。
同じIPアドレスからの複数の購入
1時間の間に、異なる人物がそれぞれのカード情報で複数の購入取引が発生することは一般的ですが、同一のIPアドレスから複数の購入が生じているようであれば、それは異なる人物からではなく、同一人物からのアタックやボットによるアタックである可能性が疑えます。
まとめ
今回はクレジットマスターを放置しているとどんな被害が起きうるのか、被害の傾向、兆候について解説しました。クレジットマスターの対策方法はこちらの記事でご紹介しているので合わせてご確認ください。