この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
キャッシュレス決済の中で、もっとも利用率が高いのがクレジットカード決済。その分問題も多く、クレジットカードの不正利用被害総額は、2022年に約437億円と過去最高額となっています。
「クレジットマスター」は不正利用の手口の一つで、カード情報を機械的に割り出すことで行われます。被害件数は年々増加しており、2023年7月時点で12万件を超えています。
ECサイトを運営する事業者としては、安全に決済が行われる状態をつくり、消費者の信頼を担保しながら売上アップに取り組みたいものです。そのためには、適切な不正利用対策を講じる必要があります。
本記事では、クレジットマスターの特徴や具体的な手口、事業者・カード保有者の被害をご紹介します。最後には、クレジットマスター被害の代表的な防止対策や、実際に被害に遭ってしまった場合の対応も解説します。
クレジットマスターとは?
クレジットマスターとは、他人のクレジットカード情報を不正に取得する犯罪行為です。通称「クレマス」と呼ばれます。
カード番号の規則性を利用して、機械的に番号を生成し、有効なカード情報を割り出します。ランダムにアタック(クレジットカード番号の生成)できるプログラムを使用するため、人の手をかけずに大量の数字列が生成できます。ECサイトの決済ページで大量アタックを仕掛けることで、決済可能なクレジットカード番号を導き出す手口です。
日本では、1990年代後半からクレジットカード偽造による被害が相次いでいます。クレジットカードの情報は、紛失・盗難に遭わなくても盗まれる恐れがあり、カード所有者だけで対策しきれないことが課題です。
また、クレジットマスターの被害に遭うのは、消費者だけではありません。事業者も売上につながらないばかりか、商品発送や消費者へのチャージバックの負担が発生する恐れがあります。大量のアタックを受けてECサイトがシステムダウンし、処理スピードが低下する被害も想定されます。
消費者側で対策しきれないクレジットマスターは、不正が起こる前から事業者側で対策しておきたいものです。
近年のクレジットマスターの被害発生状況
クレジットマスターの被害件数は増加傾向にあり、事業者としては不正発生前から対策を行うことが求められています。
クレジットマスターによる年間の被害件数は、2021年前半は毎月約1000件であったのに対し、2023年は7月時点で12万件を超えています。これは、クレジットカードの不正利用対策ソリューションを提供する株式会社アクルの調査結果です。
また、大型連休中での発生件数が多くなっており、約13万件の被害が発生しています(2022年時点)。
参照:株式会社アクル「クレジットマスターアタック(大量アタック)被害が急増!21年比で上半期の被害件数が年間約109倍ペースで上昇」
クレジットマスターの具体的な手口
クレジットカード番号を規則性をもとに割り当てるクレジットマスターの具体的な手口を見てみましょう。
クレジットカード番号は、国際規格の「ISO/IEC 7812」によりルール化されています。国際ブランドやカード発行会社によってカード番号や桁数は異なりますが、14〜16桁で構成されています。
番号の構成は、最初の6桁の「発行者識別番号(BINコード)」と、7桁目から最後から2桁目までの「会員口座番号」と、最後の1桁の「チェックデジット」です。チェックデジットとは、クレジットカード番号の並びが正しいかどうか確認するために付与される検査用の数字で、バーコードやマイナンバーカードなどにも利用されています。
▼クレジットカード番号の規則
発行者識別番号は、カード発行会社ごとに決められており、調べれば分かる公開情報です。クレジットマスターが行われる際にはこの番号に加え、会員口座番号・チェックデジット・セキュリティコード・有効期限を組み合わせて何度もテストします。カード番号の作成は、プログラムによって自動化されていることが多いです。
カード情報の割り出しにはECサイトの決済ページが悪用されています。ECサイト上でクレジットカード決済が通れば、有効なカード番号・セキュリティコードであることになり、クレジットカード情報が不正利用されるというわけです。
クレジットマスターは、インターネット初期時代から存在する古典的な手口です。
クレジットマスターを受けた場合の事業者側の被害
クレジットマスターのアタックや被害に遭った場合、事業者にはどのような悪影響があるのかをご紹介します。
1. 不要なオーソリ処理の費用負担増
クレジットマスターのアタックを受けると、クレジットカード決済時のオーソリ(信用照会/与信確保)の費用負担が増えることになります。
オーソリとは、事業者が消費者のクレジットカードで支払いができるかをクレジットカード会社に確認する処理のことです。目安として、オーソリ1件あたり約1~5円の費用が発生します。
1件あたりは少額でも、クレジットマスターではECサイトへの大量アタックにより、大量のオーソリ処理が発生します。そのため、事業者は多額の費用を負担しなければなりません。
クレジットカード情報が不正利用されなかったとしても被害に遭うことになるのです。
2. システム負荷に伴う売上機会の損失
クレジットマスターのアタックに遭うと、大量のアクセスによってシステム負荷が増大し、決済処理・注文処理が遅くなることがあります。ECサイトが一時的に利用できなくなるケースも想定されます。
これにより、消費者がECサイトから離脱してしまい、売上機会の損失につながる恐れがあります。注文できなかった消費者からの問い合わせ対応も発生するでしょう。
3. カード会社による決済停止処置
クレジットカード会社や決済代行会社から、クレジットカード決済の停止処理が行われることがあります。
クレジットマスターのアタックは不適格な番号も多く含まれているため、オーソリ処理の際、短時間に大量のエラーが発生します。クレジットカード会社では、24時間リアルタイムで決済状況がモニタリングされています。クレジットマスターが検出されると決済そのものを停止して調査することもあり、その間、カード所有者本人もカード決済ができません。
4. 個人情報の漏えい
クレジットマスターのアタックにより有効なカード情報が割り出されることは、個人情報の漏えいにあたります。不正に取得されたカード情報は、他のサイトでも不正利用される可能性が高く、さらに被害が拡大するきっかけとなってしまいます。
5. 顧客信頼の低下
クレジットカード決済が一時停止になっている場合、購入しようとした消費者からは「このサイトの決済に問題がある」と思われ、信頼の低下につながります。事業者に問い合わせがあったとしても、事業者は「外部からの攻撃によりクレジットカード会社が一時的に決済を停止している」と回答するほかなく、消費者に不安を与えてしまいます。
クレジットマスターを受けた場合のカード所有者側の被害と対応
クレジットマスターのアタックを受けた場合、カード所有者側の被害としては以下のようなものが考えられます。
- クレジットカードの不正利用
- クレジットカードの利用停止
クレジットカードの不正利用が発生すると、カード所有者側に金銭的な負担がかかります。また、不正なカード決済が何度も行われると、クレジットカード会社の判断でカードの利用が一時停止されます。
不正利用に気付いた場合、すぐにクレジットカード会社に連絡してください。カードの利用停止を行い、被害拡大を防ぎましょう。また、不正利用であることが判明すれば、支払いを拒否する、もしくは返金を要求する「チャージバック」が可能です。
事業者側ができるクレジットマスター対策
クレジットマスターの被害に遭わないようにするため、事業者側が行うべき対策をご紹介します。
対策 | 概要 |
エラーメッセージの変更 | オーソリ処理のエラー時のメッセージを変更する。 例:「有効期限に誤りがあります」→「クレジットカード情報の入力に誤りがあります」 |
不審なIPアドレスのアクセス制限 | 不正入力が行われたIPアドレス(通信番号)からのアクセスを遮断する。ただし、別のIPアドレスから大量アタックが発生する可能性もあり、効果は一時的である。 |
クレジットカード情報の入力回数制限 | 決済画面でのカード情報の入力回数に制限を設ける。カード情報盗用のための、大量アタックを防止する。 |
reCAPTCHAなどbot対策ツールの導入 | プログラム(bot/ボット)ではなく人間がカード情報を入力していることを確かめるツールを導入する。チェックボックスや画像認証のreCAPTCHAが主流。 |
3Dセキュア(本人認証サービス)の導入 | カード情報の入力者がカード所有者本人であることを確かめるサービスを導入する。ワンタイムパスワード・生体認証などが主流。 |
不正検知システムの導入 | 過去の決済情報から不正を検知するシステムを導入する。 |
1. エラーメッセージの変更
オーソリ処理ができなかったときに、ユーザーにエラーメッセージが表示されます。このエラーメッセージを変更することが一つの対策です。
エラーメッセージは、オーソリ処理のエラーコードから、カード番号・セキュリティコード・有効期限のどれが不一致かを明示するため、クレジットマスターを行う攻撃者側にもヒントを与えることになります。
例えば「有効期限に誤りがあります」「セキュリティコードが誤っていたため決済ができませんでした」などの表示です。消費者にとっては修正箇所が明確になっていて分かりやすいですが、不正行為を助長しかねません。
メッセージを「クレジットカード情報の入力に誤りがあります」などに変更し、エラー箇所をあいまいにしておくとよいでしょう。
2. 不審なIPアドレスのアクセス制限
不審なIPアドレスのアクセス制限を行うことで、クレジットマスターの大量アタックの防止につながります。IPアドレスとは、通信相手のインターネット上のアドレスです。
「Web Application Firewall(WAF)」は、入力情報から不正と判断したIPアドレスを登録し、一致するIPアドレスを拒否することができます。ただし、未知な攻撃を事前に防ぐことはできず、発覚の都度登録する必要があります。そのため、効果は一時的なものだと考えたほうがよいでしょう。
3. クレジットカード情報の入力回数制限
決済画面でのクレジットカード情報の入力回数に制限を設けることで、クレジットマスターの大量アタック防止につながります。
ただし、カード所有者本人が連続でカード情報の入力を間違えてしまった場合もブロックされてしまい、カゴに入れた商品を購入せずECサイトを離脱する「カゴ落ち」につながる可能性もあります。
4. reCAPTCHAなどbot対策ツールの導入
bot対策ツールとは、カード情報を入力するのがプログラム(bot/ボット)ではなく人間であることを確かめるツールです。bot対策ツールをECサイトに導入することで、プログラムによって大量に決済情報をテストされるのを防げます。
代表的なツールが、Googleが提供する「reCAPTCHA(リキャプチャ)」です。「reCAPTCHA v2」では「私はロボットではありません」という表示にチェックを入れるものや、複数枚の画像とともに「信号を含む画像を選んでください」というメッセージが表示され適切な画像を選択するものがあります。
最新版の「reCAPTCHA v3」は、ユーザーのWeb上の行動パターンを機械学習して自動的に人間かbotかを判断します。消費者側での操作が必要ないことや安全性の高さが特徴です。
5. 3Dセキュア(本人認証サービス)の導入
3Dセキュア(本人認証サービス)とは、事前に所有者本人が登録したパスワードや属性情報、生体認証などを使って本人認証を行うサービスです。
国際ブランドのカード会社も推奨している「EMV3-Dセキュア(3-D セキュア2.0)」は、ワンタイムパスワードや生体認証などで本人認証を行うもので、2025年3月末までにすべてのEC事業者が導入する必要があります。
6. 不正検知システムの導入
不正検知システムは、過去の決済情報から不正利用を検知します。検知する際に確認される項目としては、以下のようなものです。
- 存在しない住所が入力されている
- カード名義人が異なる
- 通常と異なるデバイスから注文が行われている
- クレジットカードを変更して何度も決済が行われている
不正検知後、クレジットカードの利用が一時停止され、その後クレジットカード所有者本人に追加認証が行われるという流れです。
事業者側が配送先情報をデータベース化して蓄積することで、不正に気付ける可能性もあるため、配送先情報の記録・保持をおすすめします。
クレジットマスターの被害に遭ってしまった場合の事業者の対応
事業者がクレジットマスターの被害に遭ってしまった場合の対応をご紹介します。
1. カード会社・決済代行会社、カード所有者に連絡する
まずはカード会社・決済代行会社、カード所有者に連絡をし、クレジットカードを利用したのがカード所有者本人かどうかを確認しましょう。不正利用が判明しても、商品発送後に返品してもらうのは限りなく難しく、商品や配送コストは事業者の負担となるため、発送前に確認を行ってください。
2. カード決済による取引を一時停止する
不正利用と判断された場合、クレジットカード決済による取引を一時停止しましょう。一度、不正にカード情報を取得されると、繰り返し標的にされてしまう恐れがあります。
なお、不正利用を早急に止めたい場合や、決済手段がクレジットカードのみの場合は、ECサイト全体を一時的に閉鎖するか、カート機能・決済機能を停止する方法もあります。
3. 不正利用対策を見直し、セキュリティを強化する
クレジットマスターに遭ったということは、セキュリティ対策が万全ではなかったということです。オーソリ処理の膨大な費用負担を避けるためにも、先ほどご紹介したような対策を適切に行ってください。
また、クレジット取引セキュリティ対策協議会が策定する「クレジットカード・セキュリティガイドライン」(2023年3月に4.0版を改定)は、クレジットカード情報保護対策や不正利用対策などが紹介されています。クレジットカード決済を扱う事業者が必ず確認すべきものですので、一度確認しましょう。
まとめ|適切な対策でクレジットマスターを防ごう
一度クレジットマスターの被害に遭うと、オーソリ処理費用やチャージバックの負担がかかったり、カード決済が利用できなくなって売上が低下したり、顧客からの信頼が低下したりと、事業者にとって大きな損失となります。3DセキュアやreCAPTCHA、不正検知システムなどを導入し、適切な対策によってクレジットマスターを防ぎましょう。
また、決済手段がクレジットカードのみでは、カード情報の不正利用発生時にカード決済の停止措置が行われ、ECサイトの売上が大きく下がることになります。消費者の利便性の観点からも、複数の決済手段に対応しておくことをおすすめします。
決済代行サービス「KOMOJU」は、クレジットカード業界において世界レベルのセキュリティ基準である、PCI DSSの最新バージョン「PCI DSS v3.2.1」に完全準拠しています。
また、スマホ決済・コンビニ決済・後払い決済など利用者が増加している決済手段を導入可能です。日本以外にも、韓国・中国・東南アジア・ヨーロッパの主要なオンライン決済方法をまとめて導入できます。
クレジットマスターへの対策の実施とあわせて、KOMOJUの導入を検討してみてください。
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
