クレジットマスターとは?
クレジットマスターアタックとは、カードの規則性を利用し、他人のカード番号を取得するものです。主にプログラムによるランダムな大量アタックが一般的ですが、ECサイトなどを攻撃し、クレジットカード決済が通れば「有効なカード番号」、あるいは「有効なセキュリティコード」であるとみて、クレジットカードの有効性を確認する手法です。
特に2000年代半ばから後半にかけて頻発した経緯があります。
クレジットマスターの手口を詳しく知りたい方はこちらの記事がおすすめです。昨今のクレジットマスターの手口は巧妙化してきているので注意しましょう。
クレジットマスターによる被害
本来不要なオーソリ処理料の発生
まずはクレジットマスターによるアタックを受けたことによる直接的な被害です。
クレジットカード決済では、オーソリ処理に対しシステム利用料が発生することが一般的です。 本来期待されるECサイト利用者ではなく、不正なアタックに対してシステム利用料が発生してしまいます。
このアタック件数に比例し発生するシステム利用料が経済的な損失です。
決済代行会社・アクワイアラー・カードブランドからの指導
クレジットマスターのアタックが一定の規模・頻度で発生することにより、カード会社(アクワイアラ)や決済代行会社から、防止に向けた対策を講じるようにと指摘が入ることがあります。 ここで注意しなければいけないことは、対策によってアタックが減少したという事実を認めてもらえない限り、決済サービスの停止を求められてしまうことです。
当然ですがクレジットカード決済を停止している期間中は、 ECサイトの売上がゼロになります。停止されてしまってから対策の検討となると再開までのスピードも求められ、切迫感も平常時の比ではありません。
被害者の利用明細に自社名が載ること
被害者である真正なカードホルダーの利用明細に、自社の店舗名が掲載されてしまう、または口座残高から引き落としされてしまうこともあります。
主に発生するケースとしては、プリペイドカードやデビットカードがアタックを受けた場合ですが、これらのカードタイプではオーソリ処理のタイミングで残高から引き落としまで即時処理される仕組みになっています。
仮に、自分自身が保有しているデビットカードの利用明細に、身に覚えのないEC サイトの名前が載っていた場合、「このECサイトはセキュリティが甘いのではないか?」とECサイトのブランドイメージを毀損させてしまう懸念があります。
オーソリ承認率の低下
オーソリ承認率の低下とは、大量にオーソリゼーションをたたかれ且つエラーが発生することにより、カード会社が全体的な与信承認率を意図的に下げるものです。ここで問題となるのは真正な購入ユーザーへの影響です。
クレジットマスターアタックなど大量にアタックを受けてしまうと、真正な購入ユーザーがクレジットカードの与信枠があるにもかかわらず、オーソリゼーションで弾かれてしまう事態が結果として発生するというものです。これは実質的な「かご落ち」となります。そして厄介なことに、一度「オーソリ承認率の低下」が発生してしまうと、購入ユーザーがカード会社に問い合わせをして個別に解除してもらう以外、経験的にはなかなか元の状態には戻りません。
クレジットマスターを放置するとさらにどんな被害が起きるのかついてはこちらの記事で詳しく解説しています。被害の傾向や兆候についてもまとめているのでぜひ参考にしてください。
クレジットマスターを放置するとどんな被害が発生する?兆候や傾向についても解説 >
クレジットマスターへの対策とは
第三者によるクレジットカード不正利用に対しては複数のソリューションが用意されていますが、
クレジットマスターのアタックに対するソリューションは限定的です。
簡単に検討できるもの、そうでないものもありますが、対策手段を以下ご紹介します。
入力項目の見直し
入力情報が少ないとターゲットにされやすい傾向が認められます。従って、もしECサイトにおいてカード有効期限、セキュリティコード(CVV)、カード名義の入力項目が未設置であれば、新たに追加することが有効な手段の一つです。また、会員登録の手続きを必須にすることで、クレジットマスターのターゲットにされにくくなり、異常な取引の発生を認識しやすくするという効果もあります。
エラーメッセージの見直し
オーソリエラーが発生した際に、決済ページ上に表示されるエラーメッセージの見直しも有効です。オーソリエラーの際に返却されるエラーコードによって、カード番号、有効期限、セキュリティコードのどれが不一致だったかECシステムとして識別が可能です。しかし、このエラーコードに即してユーザー側に不一致項目を表示し案内してしまうと、攻撃者側は有効な情報が判別できてしまうので注意が必要です。
例えば、「有効期限に誤りがあります。」と表示されていると、攻撃者側はカード番号は正しいものだ、とわかってしまいます。
エラー回数の制限
オーソリ処理におけるエラーの発生回数制限を設けることなども有効です。
例えば、ユーザーあたりのオーソリエラー回数が一定数を超えたら、一時的に決済手続きができないようにロックする、という方法です。エラー回数をモニタリングするという負荷が発生しますが、開発が可能であれば一つの選択肢と言えるでしょう。
ReCAPTHAの実装
クレジットマスターはBotによって機械的に実行されるケースがありますが、ReCAPTHAなどのBot対策ツールの実装が選択肢の一つです。しかし、適切なページに実装されていない場合や、機械的なアタックでない場合には乗り越えられてしまう可能性もあります。
ファイアウォールの設置
ネットワークセキュリティを強化しトラフィック監視を実施することも有効な手段の一つです。ただし、完全に防げるものではないことに留意する必要があります。
サードパーティ製品導入
EC業界全体としてアタック発生が増加していることを示しているとも言えますが、弊社で提供するASUKA、クレジットマスター対策としてご利用いただくカード加盟店様が増えていらっしゃいます。
もしお困りのようでしたら、一度ご相談ください。
不正検知・認証システム「ASUKA」
アクルが提供する不正防止・認証ツール「ASUKA」は、第三者不正利用によるチャージバック対策だけでなく、クレジットマスターアタック(大量アタック)にも対応しています。
「ASUKA」はオーソリゼーション前に審査が走り、効果的にアタックをブロックします。大量にアタックをされたとしても、無用な決済処理料がかかる心配もありません。
また、その結果による「オーソリ承認率の低下」を未然に防ぐこともできます。そして、他のツールやreCaptureなどとは違い、コンバージョンにも影響しないユーザーフレンドリーな運用が可能です。
もちろん、人的・機械的なアタック両サイドへ有効な、不正検知・認証システムとなっています。
是非興味のある方は、直接アクルまでお問い合わせいただけますと幸いです。
まとめ
テクノロジーの進化とともに、不正利用とその対策も変遷してゆきます。最新の手口と対策を定期的にキャッチアップすることが、自社のEC利用顧客の購入体験を守り、安定的なサイト運営の鍵になります。