2024/09/10
- サムネイル画像
- 訴求ボタン
- 決済導入(フォーム)
- この記事とあわせて読みたい
- クレジットカードの不正利用とは?代表的な種類と対策方法を解説!
- この記事とあわせて読みたい
- クレジットカードの返金方法は?手続きの流れや注意点について解説
ネットショップの運営者は、クレジットマスター対策を行うことが重要です。しかし、具体的にどのような対策を行えば良いのか分からない方も多いのではないでしょうか。
本記事ではクレジットマスターとは何かについて解説します。クレジットマスターの被害に遭うとどうなるのかや、被害を防ぐための対策についてまとめました。
本記事を読むことでクレジットマスターに関する理解を深めることができます。ネットショップの運営者、あるいはこれから運営を検討している方はぜひ参考にしてください。
目次
クレジットマスターとは?
クレジットマスターとは、クレジットカード番号の規則性から他人の番号を割り出す不正利用の手口を指します。クレジットカードの不正利用を行う手段の1つです。
ネットショップでカード決済を行う場合、カードの持ち主でなくても、カード情報を入手すれば決済ができてしまいます。(本人認証などを行わない場合)。そのため、カード情報を盗もうとする犯罪者は多くいるのです。
クレジットマスターは不正利用の手口の中でも、昔から行われているものです。この手口が厄介なのは、カードをたとえ厳重に管理しても被害に遭う可能性があることです。家に保管してずっと使っていないカードがターゲットになることもあります。
クレジットマスターと具体的な手口
クレジットカードの番号は特定の規則に従って生成されています。ネットショップでカード決済を行うには、カード番号・有効期限・セキュリティコードを入力する必要があります。
犯罪者はクレジットカード番号の採番の規則性を悪用して推定し、botなどを使い何度もカード情報を入力します。フォームに入力して決済できたら、正しいカード情報であると明らかになります。
カード情報を見つけるために、何万もの情報の組み合わせを入力することは、クレジットマスターアタックと呼ばれています。ネットショップ運営者は、自分のサイトがクレジットマスターアタックの対象とならないように対策を取る必要があります。
クレジットカード番号には規則性がある?
クレジットカードの番号は14~16桁の数字で成り立っています。最初の6桁は、カード発行会社を識別するためのもの(BINコード)です。BINコードは公開情報なのですぐ取得できます。
その後の7~9桁が、個々のカードを識別するためのもの(会員口座番号)です。会員口座番号は「ISO/IEC 7812」と呼ばれる規格によって作成されます。そのため、時間さえかければカード番号を割り出すのは不可能ではありません。
セキュリティコードは3~4桁しかありませんし、有効期限もパターンは多くありません。有効な組み合わせを見つけるのは難しくないことが、お分かりいただけるかと思います。
最近のクレジットマスターの動向
クレジットマスターは2000年代から存在する手口であり、近年は件数が更に増加しています。大規模ネットショップだけでなく、中小規模のネットショップでも被害に遭うケースが多くあります。
クレジットマスターアタックの対策が甘いネットショップは、今後も狙われ続けることが予想されます。運営者はしっかり対策を立て、ユーザーのカード情報を守り、ネットショップとしての信頼を損なわないようにすることが大切です。
クレジットマスターアタックの被害に遭うとどうなる?
クレジットマスターアタックの対策が不十分だと、ユーザーだけでなく、ネットショップ側も被害を被る可能性があります。具体的には、次の4つに繋がる恐れがあります。
- システムに負荷がかかる
- 不正行為のターゲット対象になる
- オーソリゼーションによって決済手数料が発生する
- クレジットカード決済の停止
このような事態にならないよう、対策をあらかじめ取ることが大切です。1つ1つの被害内容について詳しく解説していきます。
システムに負荷がかかる
クレジットマスターアタックによって、システムに負荷がかかります。クレジットマスターアタックでは短時間に何万件もアクセスされるためです。
システムに負荷がかかると、サーバがダウンしてしまうこともあります。サーバがダウンすると、当然その間決済を行うことはできません。復旧まで売上が発生せず、機会損失を生んでしまいます。また、ユーザーからの信頼も失ってしまいます。
システムに負荷がかかる
クレジットマスターアタックによって、システムに負荷がかかります。クレジットマスターアタックでは短時間に何万件もアクセスされるためです。
システムに負荷がかかると、サーバがダウンしてしまうこともあります。サーバがダウンすると、当然その間決済を行うことはできません。復旧まで売上が発生せず、機会損失を生んでしまいます。また、ユーザーからの信頼も失ってしまいます。
不正行為のターゲット対象になる
クレジットマスターアタックの被害に遭った結果、他の不正行為のターゲット対象になる可能性もあります。攻撃が成功したという情報が、他の犯罪グループに共有されてしまうこともあります。共有されてしまうと、今後も不正利用の被害に遭うかもしれません。
そうなると、被害額がかなり大きくなる可能性もあり、最悪サービス停止まで追い込まれる恐れもあります。こうならないために、早くから対策を打っておく必要があるのです。
オーソリゼーションによって決済手数料が発生する
オーソリゼーションとは、ユーザーのカードで決済ができるかテストする作業を指します。オーソリを行う場合、たとえエラーであっても決済手数料やトランザクション費用が発生します。
クレジットマスターアタックを受けると、オーソリが大量に行われてしまい、手数料などが多くかかってしまう恐れがあります。
クレジットカード決済の停止
クレジットマスターアタックの対象になると、カード会社にカード決済を停止されてしまう恐れもあります。カード会社としても、セキュリティ性の低いネットショップに自社の決済を使わせるわけにはいかないためです。
クレジットマスターアタックを防ぐための対策
ネットショップがクレジットマスターアタックを防ぐためには、次のような対策を行う必要があります。
- オーソリエラー回数の制限を設ける
- EMV3-Dセキュア(3Dセキュア2.0)を導入
- 不正検知システムを導入
- reCAPTCHAを導入する
これらの対策を組み合わせるととで、クレジットマスターアタックの被害をより防ぎやすくなります。1つ1つの対策内容について詳しく解説していきます。
オーソリエラー回数の制限を設ける
クレジットマスターアタックを受けると、オーソリが何度もエラーになります。そのため、オーソリエラー回数が一定を超えたら、決済できないようロックすれば、被害を食い止めることが可能です。
ただ、この対策を行う場合、エラー回数を監視するプログラムの開発が必要です。加えて、エラー回数を監視すると、その分サーバへの負荷も増えてしまいます。また、通常のユーザーがカード情報の入力ミスをした場合でも、ロックされてしまう可能性があります。
このようにデメリットもありますが、選択肢の1つとして覚えておきましょう。
EMV3-Dセキュア(3Dセキュア2.0)を導入
3Dセキュアはネットショップで使われている本人認証サービスであり、EMV3-Dセキュア(3Dセキュア2.0)はその最新版です。EMV3-Dセキュア(3Dセキュア2.0)は不正利用対策の基本ですので、導入していないならすぐ導入することをおすすめします。
EMV3-Dセキュア(3Dセキュア2.0)では、不正利用の可能性があると判断される場合のみ、本人認証を行います。毎回のように本人認証を行うわけではないため、カゴ落ち(商品をカートに入れたにも関わらず離脱してしまうこと)を減らすことができます。
EMV3-Dセキュア(3Dセキュア2.0)は2025年3月末に導入が実質義務化されます。まだ導入していない場合は、すぐに導入することをおすすめします。
不正検知システムを導入
「ASUKA」などの不正検知システムを導入するのも効果的な対策です。不正検知システムでは、過去の取引履歴やIPアドレスなどから、システムが取引のリスク評価を行います。
「ASUKA」などでは独自のアルゴリズムを導入することで、不正手口に対応しています。不正検知システムを導入しても、ユーザーの必要な動作は変わりません。そのため、カゴ落ちが増える心配がないのもメリットです。
reCAPTCHAを導入する
reCAPTCHAとはBotをブロックできる認証システムであり、Google社が提供しています。「私はロボットではありません」や「〇〇の画像をすべて選択してください」とサイト上に表示されるもののことです。
クレジットマスターアタックは、人力ではなくBot(ロボット)によって行われることが多いです。reCAPTCHAを導入することで、Botの入力をブロックすることができます。Botでは「私はロボットではありません」にチェックを入れることができません。
ただし、reCAPTCHAでは人力での不正行為までは防ぐことができません。そのため、セキュリティを強化するなら、他の対策も併用することが必要です。
『ペイジェント』ではクレジットマスター対策を強化
ペイジェントはNTTデータと三菱UFJニコスが出資している決済代行会社です。クレジットカード決済を始め、多くの決済を一括導入できるサービスを提供しています。
ペイジェントでは、クレジットマスター対策を強化しています。今回解説したように、クレジットマスターアタックのターゲットにされると、ネットショップは多くの損害を被ることになるため、複数の対策を組み合わせて不正利用者をブロックしないといけません。
先ほど紹介した4つの対策に、ペイジェントが提供する対策を加えることで、よりネットショップのセキュリティ強化を図ることができます。
アラート機能で不正利用にすぐ気がつく
ペイジェントでは、アラート機能というものを提供しています。クレジットカードマスターアタックがあった際に、加盟店にアラート(Eメール通知)を送ることができる機能です。アラートによって加盟店は、すぐ外部からの攻撃に気がつくことができます。
そして、2024年2月21日にアラート機能をアップデートしました。アップデートによって休日・夜間にも通知を送れるようになりました。
そのため、より素早く不正に気がつくことが可能です。不正にすぐ気がつけば、不正検知システムの導入・reCAPTCHAの導入などを行うことができ、被害を最小限に抑えられます。
また、ペイジェントのクレジットマスター対策は、カード情報ポータルサイト「payment navi(ペイメントナビ)」を運営する株式会社 TIプランニング様からも取材を受けております。以下の記事では、ペイジェントがアラート機能をアップデートし、通知タイミングを早めたことなどがまとめられています。
ペイジェント決済代行サービスがクレマス対策を強化 アラート機能アップデートでタイムリーな対策可能に
『ペイジェント』ではブロックサービスも提供中
ペイジェントでは、クレジットマスターアタックを防止するべく、2024年7月25日にブロックサービスを開始しました。
これは、加盟店が売上管理ツールから希望するブロック条件を設定することで、その設定に基づいてアクセスをブロックできる、というものです。
アラート機能は外部からの攻撃にすぐ気がつくための機能ですが、ブロックサービスは攻撃を未然に防ぐための機能です。
ブロックサービスが提供されたことで、クレジットマスター対策がより強化されました。
まとめ
本記事ではクレジットマスターについて解説しました。クレジットマスターアタックの被害に遭うとどうなるかや、攻撃を防ぐための対策内容がお分かりいただけたかと思います。
クレジットマスターは古くから使われている不正利用手口です。ネットショップ側は、クレジットマスターアタックの対策をしっかり行っておく必要があります。自社サイトが攻撃のターゲットにされると、多くの損害が発生し、運営ができなくなる恐れもあります。
ペイジェントでは、クレジットマスター対策にも力を入れています。アラート機能によって外部からの攻撃に素早く気がつくことができるのに加え、2024年夏にリリース予定のブロックサービスによって攻撃を未然に防ぐことも可能です。
それに加え、ペイジェントは導入できる決済手段の豊富さや入金サイクルの早さ、安定した経営基盤など強みが多くあります。ネットショップを運営している方は、ペイジェントの活用もぜひご検討ください。
