ネットショップを狙う
”クレジットマスター”の脅威
更新日:2024.12.26 投稿日:2024.12.26 サイバー脅威
「クレジットマスター」とは、クレジットカード番号の規則性を悪用して、有効なクレジットカード番号を割り出す犯罪者を指す言葉です。クレジットマスターは、有効なカード情報を入手すると、それを使って大規模に不正取引を行ったり、情報をダークウェブなどで他の犯罪者に販売したりして利益を得ています。
この犯罪では、カード情報を盗まれたユーザーが被害を受けるだけでなく、オンラインショップなどを運営する企業にとっても、クレジットマスターが有効なカード情報かを見極めるために行う「試し決済」の攻撃手法が、深刻な脅威となっています。この手口は、見た目には軽微な試行に思えるかもしれませんが、オンラインショップ企業にとっては重大なリスクを伴います。
本記事では、こういった手口を解説し、オンラインショップ企業の立場から、予測される被害や効果的な対応策について説明します。
クレジットマスター攻撃の仕組み
クレジットカード番号や有効期限を無作為に繰り返して入力し、有効なカード情報を見つけ出すために少額の取引を行う行為が、クレジットマスターの試し決済攻撃です。最初から高額な取引を試みると、不正利用として疑われる場合があるため、敢えて少額の決済で目立たない様に実行されます。
もし決済が成立すれば、カード情報が有効なものと特定されてしまいます。この段階では、まだ大きな被害額は発生していない場合が多いですが、犯罪者にとっては、有効なカード情報を見つけ出すために行う重要な選別テストです。そして試し決済で得られた有効なカード情報は、クレジットマスターによって次の段階の犯罪に利用されてしまうのです。
試し決済は以下のような手順で行われます:
- カード番号の生成規則を悪用して、有効な可能性のあるカード番号を大量に作成します。
- 自動化ツール(botプログラム)を利用して、生成したカード番号と架空の有効期限、セキュリティコードの組み合わせを、決済フォームに大量に繰り返し入力します。これにより、手動で数百回も試す必要なく、迅速に有効なカード情報を見つけ出そうとするのです。
- 決済が成功した場合は、その情報が正しいカード情報であると判断され、不正利用に悪用されてしまいます。
ネットショップが直面する問題
クレジットマスター攻撃では、ユーザーだけでなく、オンラインショップ運営企業にも多大な被害をもたらします。
オンラインショップ運営企業への被害は:
- システムへの過負荷:大量の決済試行により、サーバーに過度の負荷がかかり、サーバーダウンや遅延を引き起こし、正当な顧客がサービスを利用できなくなる可能性もあります。
- 不正決済のリスク:不正に試された決済情報の中には、有効なカード番号が含まれている可能性もあります。犯罪者が一度有効なカードを見つけると、それを用いて大きな金額の商品を不正に購入することができるため、企業側は最終的に不正取引をキャンセルし、返品・返金処理に追われることにもなります。
- 手数料損失:無数のオーソリゼーション(決済可能性の確認)の度に手数料が発生するため、大きな経済的損失につながる可能性があります。
- 決済機能の停止:被害が大きい場合には、クレジットカード決済機能の一時停止を余儀なくされ、売上に直接影響を与える可能性があります。
- 信用の失墜:もし不正注文が多く発生し、顧客に影響を与える場合、企業の信用が大きく損なわれることになります。これはショップの評判の悪化や顧客の離反を招き、長期的な売上に悪影響を及ぼします。
- 法的リスク:クレジットカード情報を不正に利用された場合、企業が適切に対処していなければ、消費者保護法やプライバシー保護法に基づく法的責任を問われることさえもあります。
攻撃から守るための対策
クレジットマスター攻撃からオンラインショップを守るために、大量の不正アタックに備える必要があります。
以下の対策が効果的です:
- 二段階認証を導入:ショップにログインする際に、モバイルデバイスへの認証コード送信などの手順を追加します。これにより、悪意のある第三者による不正利用を防ぎます。
- 3Dセキュア認証を導入:各クレジットカード会社が推奨しているサービスで、クレジットカード情報を入力した後に、クレジットカード会社から通知されるワンタイムパスワードなどでカードの所有者であることを確認するため、不正利用のリスクが大幅に低減できます。
- 入力エラーチェックを強化:カード番号、有効期限、セキュリティコードなどの情報が正しく入力されているかをリアルタイムで検証します。また、誤入力が一定回数以上繰り返されると、入力をブロックする仕組みを設けることも効果的です。
- 不正検出アルゴリズムの導入:セッション管理を強化し、短時間に大量の取引リクエストを送信しているユーザーに対して、CAPTCHA(キャプチャ)やボット検出ツールを導入します。これにより、自動化ツールを使った不正試行を阻止することができます。
- Web Application Firewall (WAF)の利用:不正な入力パターンを検知し、遮断します。
- 少額決済の制限と監視:不正試行が試みられる低額な取引を制限することも重要です。例えば、初回購入時の少額決済については、限度額を設定したり、追加の認証を要求することが有効です。
- 教育と啓発活動:社内スタッフやシステム管理者に対して、不正取引や詐欺の兆候についての教育を行い、迅速に対応できるようにします。
まとめ
クレジットマスターは、ネットショップを利用してクレジットカード情報を不正に入手しようとする犯罪者です。試し決済の手法でカード情報を不正に取得し、その後の犯罪に利用するため、ショップではこの脅威に対して迅速かつ効果的に対応する必要があります。
この攻撃は、カードユーザーだけでなく、ネットショップにも深刻な脅威を及ぼします。不正決済による経済的損失はもちろん、システムへの過負荷、顧客の信用低下、そして法的リスクなど、様々な問題を引き起こす可能性があります。
クレジットマスターによる攻撃は、日々巧妙化しています。ネットショップ運営者は、常に最新のセキュリティ技術を取り入れ、従業員への情報共有を怠らないことで、クレジットマスターからの攻撃を防ぎ、顧客の信頼を守ることが大切です。
情報セキュリティのお悩みは、VoltaNetworksにご相談ください。お客様ごとのカスタマイズサービスで、柔軟に対応いたします。初めての方には専門家による無料相談も行っております。
VoltaNetworksは、情報セキュリティに特化した専門的なアドバイスとサービスを提供しています。大手SIerやセキュリティソフトウェアメーカーで豊富な経験を持つ専門家が、お客様の課題解決のために最適なソリューションを提案します。最新のセキュリティ技術とベストプラクティスに精通した私たちは、企業のデジタル資産を確実に保護するための包括的な戦略を提供します。
【提供サービス】
パートナーCISO・CIO | セカンドオピニオン | 標的型攻撃訓練 | 規定・ハンドブック作成 | 構築支援/運用支援 | 事業継続計画 IT-BCP | CSIRT/SOC構築支援 | セキュリティ診断 | 研修・リテラシー向上