クレジットマスターアタックとは?
クレジットマスターアタックとは、カードの規則性を利用し、他人のカード番号を取得するものです。主にプログラムによるランダムな大量アタックが一般的ですが、ECサイトを攻撃し、クレジットカード決済が通れば「有効なカード番号」、あるいは「有効なセキュリティコード」であるとみて、クレジットカードの有効性を確認する手法です。
特に2000年代半ばから後半にかけて頻発した経緯があります。
カード情報漏洩によるクレジットマスターの変遷
10年以上前に頻発していたクレジットマスターによる不正の手口にも変遷があります。
要因の一つは、個人情報漏洩によるクレジットカード番号の大量流出です。この流出したカード番号は、安いものであれば闇サイト上で1枚2~3ドルで売買されています。
クレジットマスターによるアタックは短期間に集中し大量アクセスを行いますが、すぐに遮断されるリスクもあります。そこへかけるコストに比べると、巷から他人のカード情報を不正に「購入」するほうが、費用対効果がいいのです。その証拠に近年クレジットマスターによる被害は、全体的に減ってきていると言われていました。
クレジットマスターによるアタックの再興か?
最近ではレガシーとなりつつあったクレジットマスターによるアタックですが、実は2018年以降再度急増している傾向があります。アクルにも多くのご相談がきており、その流れは継続、むしろ2021年以降はより大幅に増えている印象です。
1日に数万件から数十万件のアタックを受けたカード加盟店からのご相談の中には、そのためにカード決済のストップを余儀なくされたということもありました。
ここ最近の傾向とは
以前は「寄付系サイト」などが主流でしたが、最近では「物販サイト」におけるアタックが増えてきているのが特徴です。
また、1日に数百件から数千件レベルでの被害も増えています。以前は一気に、集中的にといったものが多かったのですが、間をおいてのアタックも主流となりつつあります。それだけ敵も賢くなってきているということです。プログラムによる大量アタックの他、人的なアタックも散見されています。
クレジットマスターアタックを放置していると起きること ~オーソリ承認率の低下~
第三者不正利用によるチャージバックで売上取消となり商品だけ取られてしまったといった被害とは若干毛色が違うものの、クレジットマスターアタックも実はそれなりの影響があります。
まず、1日数十件、数百件のアタックが、野放しにしているとどんどん増えていく傾向です。最終的には数十万件のアタックへと膨らんでいきます。また、数十万件のアタックを受けてしまうと、サーバー負荷の影響もありカード決済をストップしなければならなくなります。あるいはカード会社からストップがかかるケースもあります。そのストップした、あるいはされた、期間の機会損失も合わせれば相当な被害になります。
クレジットマスターの場合は決済オーソリゼーションでエラーになるケースが多いのですが、決済処理料はかかってしまいます。件数に関わらずこの負担はそれなりに重くのしかかってきます。
また意外なところでいうと、風評被害もあります。クレジットマスターアタックを受けてカード決済を止めた時に、マーケットには、いらぬ全く関係のない理由で認識されてしまうリスクです。例えば、全然関係がなく「何かあのサイトは危険だ」といった、カード情報の漏洩事故のようにとらえられてしまったケースを過去いくつか認識しています。
そして一番大きいことは、「オーソリ承認率の低下」です。ここまで意識が行かない、想像できていない、カード加盟店は実は非常に多いと考えています。この「オーソリ承認率の低下」は、大量にオーソリゼーションをたたかれ且つエラーが発生することにより、カード会社が全体的な与信承認率を意図的に下げるものです。ここで問題となるのは真正な購入ユーザーへの影響です。
クレジットマスターアタックなど大量にアタックを受けてしまうと、真正な購入ユーザーがクレジットカードの与信枠があるにもかかわらず、オーソリゼーションで弾かれてしまう事態が結果として発生するというものです。これは実質的な「かご落ち」となります。そして厄介なことに、一度「オーソリ承認率の低下」が発生してしまうと、購入ユーザーがカード会社に問い合わせをして個別に解除してもらう以外、経験的にはなかなか元の状態には戻らないのです。
そういった意味では、少しでも違和感があった場合はすぐに対策をする必要があります。
クレジットマスターアタックへの対策とは
例えば、「私はロボットではありません」で有名なreCaptureなどの画像認証によるセキュリティツールを実装することで解決するかもしれません。
ただし、人的な不正アタックは防げないのと、真正ユーザーに対しては場合によっては「かご落ち」の要因になるかもしれません。 クレジットマスターアタックへの対策では、コンバージョンを落とさずに、人的かつ機械的なアタックにも対応しているツールを実装するのが理想です。
不正検知・認証システム「ASUKA」
アクルが提供する不正防止・認証ツール「ASUKA」は、第三者不正利用によるチャージバック対策だけでなく、クレジットマスターアタック(大量アタック)にも対応しています。
「ASUKA」はオーソリゼーション前に審査が走り、効果的にアタックをブロックします。大量にアタックをされたとしても、無用な決済処理料がかかる心配もありません。
また、その結果による「オーソリ承認率の低下」を未然に防ぐこともできます。そして、他のツールやreCaptureなどとは違い、コンバージョンにも影響しないユーザーフレンドリーな運用が可能です。
もちろん、人的・機械的なアタック両サイドへ有効な、不正検知・認証システムとなっています。
是非興味のある方は、直接アクルまでお問い合わせいただけますと幸いです。
▼▼その他のクレマスアタックの記事はこちらから▼▼
*上記資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は上記のページをご確認ください。