昨年の話になりますが、とあるカード加盟店さんからご相談をいただきました。
数週間前にクレジットマスターによる被害があり、社内で問題になっている反面、どういう被害があるのか、どのような温度感で対応して行くべきなのか。情報量が少ないので相談させて欲しい、といったものでした。
確かに、クレジットマスターに関する被害については、第三者カード不正利用、チャージバックに比べると情報が手に入りにくい実態があります。
■クレジットマスターによる直接的な被害
- 本来不要なオーソリ処理料の発生
まずはクレジットマスターによるアタックを受けたことによる直接的な被害です。
クレジットカード決済では、オーソリ処理に対しシステム利用料が発生することが一般的です。 本来期待されるECサイト利用者ではなく、不正なアタックに対してシステム利用料が発生してしまいます。
このアタック件数に比例し発生するシステム利用料が経済的な損失です。こちらは目に見えてわかりやすいため、アタックの実害はこれだけであると認識されがちです。
しかし、以下にご紹介する通り、潜在的なリスクが重要なポイントです。
■潜在的なリスク
- 決済代行会社・アクワイアラー・カードブランドからの指導
クレジットマスターのアタックが一定の規模・頻度で発生することにより、カード会社(アクワイアラ)や決済代行会社から、防止に向けた対策を講じるようにと指摘が入ることがあります。 ここで注意しなければいけないことは、対策によってアタックが減少したという事実を認めてもらえない限り、さらに厳しい指摘が入ってしまうことです。すなわち、決済サービスの停止です。
EC サイトのクレジットカード決済を停止します、として半強制的に止められてしまうのです。実際に、私の知る限りですが中小規模の加盟店さんで3社ほど、大規模加盟店さんでも1社、停止に至ってしまいご相談を受けたことがありました。
当然ですがクレジットカード決済を停止している期間中は、 ECサイトの売上がゼロになります。停止されてしまってから対策の検討となると再開までのスピードも求められ、切迫感も平常時の比ではありません。
- 被害者の利用明細に自社名が載ること
被害者である真正なカードホルダーの利用明細に、自社の店舗名が掲載されてしまう、または口座残高から引き落としされてしまうこともあります。
主に発生するケースとしては、プリペイドカードやデビットカードがアタックを受けた場合ですが、これらのカードタイプではオーソリ処理のタイミングで残高から引き落としまで即時処理される仕組みになっています。
仮に、自分自身が保有しているデビットカードの利用明細に、身に覚えのないEC サイトの名前が載っていた場合、明細に書かれているECサイトに対しネガティブな印象を持つこともあるかもしれません。悪いのはアタックを仕掛ける犯罪者であるにもかかわらず、です。
受け取り方はカードホルダー次第ではありますが、「このECサイトはセキュリティが甘いのではないか?」とECサイトのブランドイメージを既存させてしまう懸念があります。
- ペナルティの負担
リスクとして存在するのでペナルティの負担についても触れたいと思います。アタック被害の規模や件数に応じて、ペナルティとして費用を負担しなければならないリスクがある、ということです。
- オーソリ承認率への影響
別の記事でも紹介していますが、オーソリ承認率が低下する可能性も潜在的なリスクの一つです。カード会社(発行会社)は各社ごとに不正検知を実施しています。カード会社側で不審なオーソリを認知したことを受け、該当の加盟店に対しては判定を厳しくする、といったことが発生しえるのです。
つまり、間接的に真正なECサイト利用者のコンバージョン低下によるネガティブな影響が生じる可能性があります。利用者が問い合わせしてこない限り、加盟店側もこの事象の認知が難しい点も悩ましいポイントです。
■被害の傾向
- 当社のECサイトの被害規模は同業他社や同じくらいの規模のECサイトと比べて多いでしょうか?一般的なものでしょうか?
- どういった規模、業種のECサイトがアタックの被害を受けやすいのでしょうか。
- 同じ売上規模のECサイトもアタック対策の外部サービスをすでに採用しているんでしょうか?
上記は、あるECカード加盟店の担当の方から受けたご相談です。
業界的にどのような傾向があるか概要を把握したいという趣旨での質問だったと理解しています。
しかし、クレジットマスターのアタックの実態はECの規模や商材との相関関係は少なくなってきています。年間取扱高が100億円超といった大規模ECサイトでも、月商100万円未満のECサイトでも、同じようにアタックは存在します。
強いて狙われやすさとの相関関係を挙げるとすると、規模や認知度よりもECの構成です。
決済完了に至るまでのECサイト上のページ遷移や、入力情報の量が少ないほど、アタック側としてはハードルが下がるためです。
会員登録手続きやEmail・SMS認証が必須のECサイトより、ゲスト購入の動線を設けているサイトの方がアタックを受けやすく、入力情報が少なければアタックを受けやすい、そういった傾向はあるようです。アタックを仕掛ける攻撃者側が効率的に作業ができるかどうかによりターゲットを選定していると推測できます。
■対策
どういう対策があり、他社さんはどうしているのか、どの程度の被害の規模になってきたら対策に着手しているのか、という点についてもご相談をいただきました。
第三者によるクレジットカード不正利用に対しては複数のソリューションが用意されていますが、
クレジットマスターのアタックに対するソリューションは限定的です。
簡単に検討できるもの、そうでないものもありますが、対策手段を以下ご紹介します。
- 入力項目の見直し
前段の傾向でも取り上げた通り、入力情報が少ないとターゲットにされやすい傾向が認められます。従って、もしECサイトにおいてカード有効期限、セキュリティコード(CVV)、カード名義の入力項目が未設置であれば、新たに追加することが有効な手段の一つです。
- エラーメッセージの見直し
オーソリエラーが発生した際に、決済ページ上に表示されるエラーメッセージの見直しも有効です。オーソリエラーの際に返却されるエラーコードによって、カード番号、有効期限、セキュリティコードのどれが不一致だったかECシステムとして識別が可能です。しかし、このエラーコードに即してユーザー側に不一致項目を表示し案内してしまうと、攻撃者側は有効な情報が判別できてしまうのです。
例えば、「有効期限に誤りがあります。」と表示されていると、攻撃者側はカード番号は正しいものだ、とわかってしまうのです。
- エラー回数の制限
オーソリ処理におけるエラーの発生回数制限を設けることなども有効です。
例えば、ユーザーあたりのオーソリエラー回数が一定数を超えたら、一時的に決済手続きができないようにロックする、という方法です。エラー回数をモニタリングするという負荷が発生しますが、開発が可能であれば一つの選択肢と言えるでしょう。
- サードパーティ製品導入
EC業界全体としてアタック発生が増加していることを示しているとも言えますが、弊社で提供するASUKA、クレジットマスター対策としてご利用いただくカード加盟店様が増えていらっしゃいます。
もしお困りのようでしたら、一度ご相談ください。
▼▼その他のクレマスアタックの記事はこちらから▼▼
クレジットカード不正の歴史と昨今のクレジットマスターアタック
*上記資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は上記のページをご確認ください。