不正利用のはじまり
1902年、ニューヨークの百貨店である男性が盗んだクレジットカードで買い物をしたことが、クレジットカードの不正利用の発端であると言われています。
男性は最終的に逮捕され有罪判決を受けましたが、クレジットカード不正対策の歴史は100年以上にわたるものであり、テクノロジーの進化と共に、多くの犯罪者と対策を講じる側の人々が攻防を繰り広げてきました。
初期の不正利用では、犯罪者はスリや窃盗でクレジットカードを盗んでいました。クレジットカードが広く世界に普及するにつれて、犯罪者側もより洗練された方法を開発して行きます。
不正手口の変容とは
最も広まったと言われるクレジットカードの不正利用の1つは「スキミング」、磁気ストライプがコピーできるがゆえに拡大した手口です。犯罪者が専用端末を使い、カード裏面の磁気ストライプ情報のコピーを作成する手法です。盗まれた情報は偽造カードにコピーされ悪用されます。
カリフォルニアのホテルの一室で、偽造カードを作っていた男が2人、逮捕されたというニュースがありました。上の写真はその際に押収された偽造カード約100枚と、カードのエンボス加工を行う専用のマシンです。今や日本でもICチップ搭載カードが一般的になりつつあり、カード番号のエンボス加工も減少傾向にありますが、しっかり加工しているようです。
昨今の一般的なクレジットカードの不正使用方法は「フィッシング」でした。犯罪者が正当な企業やサービスからのように見える偽のメールを送信する詐欺の一種です。これらのメールにはターゲットの個人情報、クレジットカード番号を含む、偽のカード情報を作成する、または本人認証を突破するために必要な情報を掻き集める目的で設置されたWebサイトへ飛ばされます。
さらに近年、クレジットカードの不正利用において人工知能(AI)、機械学習(ML)が悪用された痕跡が見受けられるケースも増加しています。カード不正利用の下準備に必要な作業を自動化するために利用されているのです。
少し前までは、テキストの表現や文言に違和感のある怪しいメールを見つけることでフィッシングのメールかと直感が働くケースが多かったものですが、もはや表現に違和感を覚えるメールを見る機会はなくなりました。フィッシングメールが来なくなったためなのか、気づいていないだけなのかはわかりません。
そして今まさに増加傾向にある手口が「クレジットマスター」という手口です。「大量アタック」や「カードテスティング」とも呼ばれます。
クレジットカードの番号の規則性を悪用するなどし、オーソリ処理のトランザクションを多数発生させ、使えるカード情報を導き出す、というものです。過去からもこの手口はありましたが、増加傾向にあります。改めて影響と対策について紹介していきます。
クレジットカードマスターと、その悪影響
別の記事でも紹介していますが、クレジットマスターの被害を認知できない場合や、被害に対策せず放置することは、カード加盟店とカードホルダー双方に大きな悪影響を与える可能性があります。
収益の損失
お話したいのは、オーソリ処理の費用やチャージバックの負担のことではありません。
アタックとは直接関係のない、他の顧客のカード決済処理が通らなくなってしまうことによる損失です。
多くのオーソリ処理トランザクションが拒否されていたり、チャージバックが多かった場合、あなたのECサイトがカード業界で「ハイリスク加盟店」として認定されるのです。決済手数料が高くなることや、オーソリ処理トランザクションの拒否率(承認率の低下)が増えてしまいます。
実は、カード会社が加盟店にチャージバックを実行するには手数料がかかります。これらのアタックは小額決済で発生する傾向があるため、チャージバック処理の手間・手数料を回避するため、カード会社がチャージバックせず、自社負担することが多いのです。つまり、チャージバックの負担がないことは、アタックが無いことを示すわけではありません。
他のアタックのターゲットにされやすい
クレジットマスターが成功したECサイトは、その過程でセキュリティシステムの弱点を見せてしまうこともあります。これは、犯罪者に「サイバー攻撃しやすいターゲット」であると認識されることを意味します。クレジットマスターが落ち着いたと思っていたら、今度はアカウント乗っ取りなどの他の攻撃を受け、個人情報の漏洩事故に直結するのです。EC業界ではこのパターンで多数の事例が実在します。
他にも、異なるサイバー攻撃の「踏み台」にされてしまうこともあります。不正に侵入されたサーバーなどから、また次のターゲットへのアタックが作られる、といった二次犯罪が実行されるのです。
クレジットマスターアタックの被害の兆候
まずは、自社のECサイトに対しアタックが来ているかどうか、被害の認知が重要です。認知する手段の一例を以下に紹介していきます。
カード決済におけるオーソリ承認率
一般的に、決済システムでオーソリ結果を確認することができますが、オーソリNGの比率が上がっていませんか?もし時系列で承認率が低下している兆候があるようなら、ECサイトの決済ページやカード情報の変更画面に対するアタックが発生している兆候です。
チャージバック率
チャージバックの金額ではなく、件数ベースでの比率の推移を確認します。ただし、クレジットマスターでは小額でアタックされる傾向が高いため、カード会社がチャージバックせずに負担している可能性があります。
小額決済が異様に多い
ECサイトで取り扱う商材の単価が低ければ、小額決済がたくさんあることは一般的です。しかし、自社の平均購入単価ラインと比較し、時間を開けて数百回の小額決済を繰り返す人物がいる、または人気の無い小額決済を購入する特定の人物がいるようであれば、アタックの兆候と言えるでしょう。
短期間にオーソリ失敗が集中している
真正カードホルダーがオーソリ失敗を発生させてしまうことはしばしば存在します。与信枠の欠如、カードの有効期限切れ、カード情報の入力誤りなどいくつかの理由が考えられます。しかし、オーソリ失敗が短い期間に集中しているようであれば、アタックの可能性が考えられます。
同じIPアドレスからの複数の購入
1時間の間に、異なる人物がそれぞれのカード情報で複数の購入取引が発生することは一般的ですが、同一のIPアドレスから複数の購入が生じているようであれば、それは異なる人物からではなく、同一人物からのアタックやボットによるアタックである可能性が疑えます。
クレジットマスターに有効な対策
ECサイトの規模感、予算感に応じて採用しうる手段は限られがちですが、クレジットマスターはECサイトの流通量や規模にかかわらず発生するため、定期的に現状把握し、適切な対処を講じることが必要です。対策をしないと、関係のない真正利用者が決済できない事象に直結するからです。
セキュリティコード入力を必須とする
カード加盟店は、セキュリティ上の観点からクレジットカードのセキュリティコードを保管していません。つまり、不正利用者が情報漏洩によりカード情報を入手したとしても、セキュリティコードはわかりません。ECサイト上にセキュリティコードの入力フォームがあるだけで、ターゲットから外される可能性がぐっと高まります。
ReCAPTHAの実装
クレジットマスターはBotによって機械的に実行されるケースがありますが、ReCAPTHAなどのBot対策ツールの実装が選択肢の一つです。しかし、適切なページに実装されていない場合や、機械的なアタックでない場合には乗り越えられてしまう可能性もあります。
ファイアウォールの設置
ネットワークセキュリティを強化しトラフィック監視を実施することも有効な手段の一つです。ただし、完全に防げるものではないことに留意する必要があります。
ゲスト購入動線の廃止
換言すると、会員登録の手続きを必須にする、ということです。新規アカウント作成を必須手続きとすることで、クレジットマスターのターゲットにされにくくする、という趣旨です。会員登録されることで、異常な取引の発生を認識しやすくするという効果もあります。
(寄付などの場合)最低取引金額を設ける
寄付、クラウドファンディング、ポイント購入などのカード決済では、カードホルダー側が決済金額を指定できることがあります。攻撃者は小額決済を生じさせることで有効なカード情報の特定を実施することから、最低決済金額を設定することも一つの手段です。こちらも前述の通り、ターゲットにされにくくする、という目的での対策です。
まとめ
冒頭のクレジットカード不正利用の変遷でも触れましたが、テクノロジーの進化とともに、不正利用とその対策も変遷してゆきます。最新の手口と対策を定期的にキャッチアップすることが、自社のEC利用顧客の購入体験を守り、安定的なサイト運営の鍵になります。
