カード会社からのメールで、「クレジットマスター(通称:クレマス)が発生しているため、急ぎ対応してください」といった内容の連絡を受け取ったことはありませんか?初めて聞く場合は、何が起きているのか分からず焦ったり慌てたりするかと思います。
クレジットマスターとは、他人のクレジットカードの有効期限とセキュリティコードを割り出すために行われる犯罪行為です。ECサイトのクレジットカード登録ページや、注文ページなどへ大量にアクセスがある場合、クレジットマスターの標的にされている可能性があります。
このようなクレジットマスターの被害を最小限に抑えるためには事前の対策が重要です。
なぜなら、割り出されたクレジットカード番号はその後不正利用されてしまい、知らないうちに犯罪に巻き込まれてしまうからです。
今回は、株式会社インターファクトリーでマーケティングを担当している筆者が、クレジットマスターの対策として有効な5つのポイントを解説します。
クレジットマスターとは
クレジットマスターとは、他人のクレジットカードの有効期限とセキュリティコードを割り出すために行われる犯罪行為です。
クレジットカード番号の規則性を利用して機械的に生成したカード番号を、ECサイトのクレジットカード登録ページや、注文ページなどで大量に入力を試み、有効なクレジットカード番号がどれかを確認しています。
以下の図をご覧ください。今回はECサイトでの登録を例に説明します。
◆クレジットマスターとは
出典(図):筆者作成
② 踏み台にされたECサイトからカード会社へ通信が行われ、カードの有効性がチェックされる
③ 有効性チェックの結果がECサイトに通信される
④ 有効性チェックがOKの場合、ECサイトにて登録が完了する
このような手順でクレジットマスターが行われています。
クレジットマスターの被害にあうと、EC事業者はトラフィック量増加に伴い、大幅にトランザクション費用(※1)を支払わなければなりません。
また、カード会社がカードの承認率を低下させることで、正規の一般ユーザーが購入を試みるとオーソリゼーション(※2)で弾かれてしまうことから、本来はクレジットカードの与信枠があるのに購入できないといった影響もあります。
そのため、クレジットマスターの被害にあった場合は、できるだけスピード感をもって冷静に対処すべきです。
(※1)ECサイトから決済機関へ決済のデータを転送する際に発生する1件あたりの通信費用。
(※2)決済しているクレジットカードが有効かどうかや、カードの利用限度額に達していないかなどをカード会社が確認し、クレジットカードの利用枠を確保する処理。
一般社団法人日本クレジット協会「クレジットカード不正利用被害額の発生状況」によると、2022年に発生したクレジットカード不正利用の被害のうち、番号盗用の被害額は411.7億円でした。
◆クレジットカード番号盗用被害の発生状況
出典:一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」のデータより筆者作成
番号盗用による被害額は2014年から8年で345億円も増加、クレジットカード不正利用被害全体における構成比も35.7%増加し、2022年には94.3%の発生率となりました。知らないうちに運営中のECサイトがクレジットマスターの被害にあっている可能性は極めて高く、ひとごとではありません。
クレジットマスターによる不正を防ぐための5つの対策
ここからはクレジットマスターの対策として有効な5つの方法をご紹介します。
被害を最小限に抑えるためにもクレジットマスターが起きていない場合も事前に導入を検討しましょう。
ポイント① 不正な動きが見られる特定のIPアドレスやユーザーエージェントへのアクセス制限
クレジットマスターの被害にあう際は、同一のIPアドレスやユーザーエージェントからの受注や会員登録など、大量のアクセスが見られます。
そのIPアドレスやユーザーエージェントが対処すべき不正アクセス元となりますので、該当の不正アクセス元を特定してアクセス制限をかけましょう。
不正なIPアドレスやユーザーエージェントの特定には、ECプラットフォームの機能でアクセスログを抽出できることがありますので、お使いのECプラットフォーム会社に相談すると良いでしょう。
※抽出可能な範囲等につきましては、利用規約や契約内容等を確認しておきましょう。
また、アクセス制限機能についてもECプラットフォーム会社が提供している場合がありますのでこちらも確認しましょう。
ただ、不正アクセス者はIPアドレスを変えてアタックを続けてくるため、このアクセス制限は一時的な対応となります。
そのため、次の4つのポイントを押さえてしっかりと対策を行いましょう。
ポイント② 同一IPアドレスに対して、入力制限をかける
ポイント①で解説したような、IPアドレスを変えてアタックを続けてくる場合や、同一IPアドレスから大量のアクセスがある場合は、同一IPアドレスに対して入力制限をかけましょう。
例えば、1分間に同じIPアドレスから200アクセスあった場合、そのIPアドレスからのアクセスに制限をかけたりアクセスを禁止にします。
個人差はありますが、人の手でECサイトの受注や会員登録などを試みる場合、さまざまなページを回遊しながら登録までのステップを踏むことが通常の動きかと思いますので、1分間にアクセスできる数は2桁程度だと考えられます。自社の商材等に合わせてアクセス制限のしきい値を設定すると良いでしょう。
この制限をかけることで、不正アクセス対策だけでなく、不正アクセスによって無駄に発生してしまうアクセス費用を抑えることができたり、セールを実施し、アクセスが集中している場合にもサイトダウンを防ぐことができます。
ポイント③ reCAPTCHAを導入する(bot対策)
reCAPTCHAとは、そのページにアクセスしてきているのが人間による一般的なアクセスなのか、ロボットによるスパム攻撃なのかを見分けるためのサービスで、Google社が無料で提供しています。
お問い合わせページや会員登録ページ等で入力項目を送信する際に以下のようなメッセージが表示されたことはありませんか?それがreCAPTCHAです。
◆入力フォームに表示されるメッセージ
もしくは、サイトの下部に以下のような画像が表示されている場合も同様にreCAPTCHAが導入されています。
出典(画像):実際に筆者がforUSERS株式会社のサイトを訪問した際に表示されたreCAPTCHA v3の画像
reCAPTCHAには大きく3つあります。
◆reCAPTCHAの3つの種類
・reCAPTCHA v2 invisible
・reCAPTCHA v3
v2とv3の違いはアクセス者が人間かロボットかどうかを判断するために、ユーザーに何らかの操作を求めることにあります。
v2はチェックボックスへのチェックや画像認証をユーザーに求めますが、v3は何も操作を求めません。したがって、「私はロボットではありません」の文言が表示されるのはv2のreCAPTCHAになります。
v3はユーザーに何も操作を求めないことからユーザビリティを損なわないため、reCAPTCHA導入時に懸念となるユーザーの離脱の心配が軽減されます。
そのため、特に理由がない限り、v3での導入を検討すると良いでしょう。
reCAPTCHAは下記のGoogle社が提供しているお申し込みサイトより登録可能です。
ポイント④ クレジットカード3Dセキュアを導入する
クレジットカード3Dセキュアとは、ECサイトなど、インターネット上でのお買い物をクレジットカード決済で行う際に、より安全な決済ができるように本人認証を行うサービスです。
クレジットカード決済時にクレジットカード番号と有効期限の入力に加えて、カード所持者しか分からないワンタイムパスワードの入力や、生体認証などによって本人認証を行うのが一般的です。
経済産業省のクレジットカード・セキュリティガイドラインにおいても「原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。」と発表されているため、3Dセキュアの導入は業界としてもますます必須の対応となっていくでしょう。
参考:経済産業省「クレジットカード・セキュリティガイドライン【4.0版】が改定されました」
3Dセキュアを導入しておくことで、不正利用を防止できるほか、EC事業者の大きなメリットとしてチャージバックのリスクを抑えられることがあります。
ユーザーによる3Dセキュアの設定が必要となるため、必ずしも対策ができるとは限りませんが、チャージバックによって、せっかくあげた利益をマイナスにしないためにも、3Dセキュアを導入しておくことに越したことはないでしょう。
ポイント⑤ 不正検知サービスを導入する
クレジットマスターによる被害が多発する昨今では、ECプラットフォーム会社や決済サービス会社、セキュリティサービス会社などからオンライン決済での不正登録や注文を検知するサービスが提供されています。
今回ご紹介するのは以下3つのサービスです。
◆3つの不正検知システム
② 不正検知・認証システム「ASUKA」(株式会社アクル)
③ 決済情報と機械学習で不正利用を検知するサービス「AI不正検知」(SBペイメントサービス株式会社)
ご紹介した不正検知サービス提供会社は、多数の企業や業界業種へのサービス導入実績があることからクレジットマスターに関するナレッジを保有しているだけでなく、常に最新の犯罪手口に対応し続けています。
既出の事例と同じ事象が起きていることもありますので、不正検知サービス提供会社に相談しながら、自社のECサイト運用の形式等に合わせて、適切な不正検知サービスを導入しましょう。
また、ECプラットフォーム「ebisumart(エビスマート)」を提供している株式会社インターファクトリーも不正なクレジットカードの入力を検知する機能を提供しています。
参考:不正カード入力検知機能(株式会社インターファクトリー)
お使いのECプラットフォームがebisumartの場合、こちらの機能を利用するのも手段の一つになります。
ここまで、クレジットマスターの対策として有効な5つの方法をご紹介しましたが、クレジットマスター被害にあってしまった場合は、できるだけ早くお使いのECプラットフォーム会社や、カード会社へ連絡しましょう。
専任のサポート体制がある場合、クレジットマスターの対策方法についてもノウハウがあるため、導入すべき機能やシステムについてアドバイスを受けられるでしょう。
まとめ
クレジットマスターの手口は、繰り返されることで日々巧妙化しています。以前対策できていた方法だとしても、現在は対策できないこともあるため、いたちごっことなります。
クレジットマスター対策の一つであるreCAPTCHAや、クレジットカード3Dセキュアを導入すると、ユーザーの離脱率が上がることを懸念されるEC事業者様もいるかと思います。
ユーザビリティの観点から見ると、離脱率は低い方が望ましいですが、ECサイトのセキュリティ対策ができていなければそもそも事業の継続が難しくなってしまいます。
特にreCAPTCHAに関しては、不正攻撃の入口となるページのフォーム送信時にロボットによるアクセスかどうかチェックを行い、アクセス自体を大幅に遮断できるので、クレジットマスターの被害を未然に防ぎます。
Googleが無料で提供しているため、費用対効果が非常に高く、導入しておきましょう。
また、これらのセキュリティに関する機能は競合事業者も導入を進めているものとなりますので、競合に後れを取らず自社ECサイトのセキュリティ対策を強化するためにも導入することをおすすめします。