警告マーク
貴社ECサイトが悪用されないために
 知っておきたい

クレジットマスター被害 
現状と対策

昨今、加盟店様ECサイトにおいて悪意ある第三者による「クレジットマスター」の被害が増加しております。

本ページではクレジットマスターについての基本的な情報や、被害が発生すると加盟店様やクレジットカード所有者にどのような影響があるか、また新たな被害者の発生を予防するために加盟店様・弊社含む関係各社にてとるべき対策について解説いたします。

目次

  1. 1.クレジットマスターとは
  2. 2.クレジットマスターによる影響
  3. 3.クレジットマスターへの対策
  4. 4.まとめ
1

クレジットマスターとは

クレジットマスターとは、悪意ある第三者により以下の手口で行われる犯罪行為※です。
  • クレジットカード番号生成の規則性を悪用するプログラムを用い、
  • 正規に発行される有効なクレジットカード番号を割り出し、
  • 加盟店様の決済フォームを踏み台にして、
  • そのクレジットカードの有効期限とセキュリティコードが判明するまで機械的に攻撃を繰り返す

割り出された有効なクレジットカード番号は、通販サイトやオンライン決済で不正利用されます。 割り出す過程においてECサイトの決済フォームが悪用されることから、 加盟店様は知らず知らずのうちに犯罪に巻き込まれていると捉えることができます。
※悪意ある第三者は以下の罪に問われる可能性があります
偽計業務妨害罪
大量の攻撃により加盟店様のシステムに障害が発生し、サービスの停止を余儀なくされた場合などに適用
電子計算機使用詐欺罪
加盟店様の決済システムへカード名義人になりすました第三者が不正にアクセスし、財産上不法の利益を得た場合などに適用

カード所有者に被害を及ぼすまでの流れ

クレジットカードマスターの説明図
以下のプロセスにより、カード所有者は、保有するカードが意図せず停止されることになります。
  1. クレジットカード情報を割り出すための機械的な大量の攻撃
  2. 悪意ある第三者とのカード情報売買
  3. カード情報を不正利用し、転売価値の高い商材を購入
  4. 不正利用によりカード停止

クレジットカード不正利用被害の状況

一般社団法人日本クレジット協会の調査によると、クレジットカード不正利用被害額は増加傾向にあり、不正利用被害額のうち9割以上がクレジットマスター等の番号盗用による被害となっております。
クレジットカード不正利用被害額の推移 クレジットカード不正利用被害額の推移の図
2022年における不正利用被害総額 437億円
2022年の不正利用被害総額に対する
番号盗用の被害割合 94%
一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果および数値の訂正について」(2023年3月31日)より引用
https://www.j-credit.or.jp/download/news_202300000195.pdf
この被害状況については国、クレジットカード業界でも大きな問題と捉えられており、経済産業省による「第6回 クレジットカード決済システムのセキュリティ対策強化検討会」では、クレジットマスターの手口において決済フォームが悪用される特性上、大量の決済データが流れることを検知することで未然に防止する対策の有効性について言及がなされています。

また、今後はクレジットマスター対策についても加盟店の「基本的なセキュリティ対策※」の一つと位置付けられ、対策の必須化も予想されます。
※EC加盟店における漏えい対策として、EC加盟店のシステム、ECサイト自体の脆弱性対策(システム上の設定の不備への対策(PW管理等)、脆弱性診断・対策、ウイルス対策等)の基本的なセキュリティ対策を必須とすることを2024年度末までにクレジットカード・セキュリティガイドライン上に明記することが求められている
参考文献:クレジットカード決済システムのセキュリティ対策強化検討会 報告書 2023年1月20日、クレジットカード・セキュリティガイドライン【4.0版】
2

クレジットマスターによる影響

クレジットマスターへの対策を怠り被害が発生した場合の影響として、以下のようなリスクが生じます。

加盟店様側のリスク

オンラインショップのアイコン
  • トラフィック量増加などに伴いサーバー障害が起きる
    ※クレジットマスターは短時間に数万単位で発生する場合もあります
  • カード会社が承認率を低下させ、正規ユーザーによる購入に影響がでる
  • カード手数料率の上昇やカード会社との契約の停止
  • サービス停止や情報漏えいなどにより、顧客からの信頼を失う

カード所有者側のリスク

オンラインショップのアイコン
  • 不正利用による金銭的被害
  • カードが利用停止になる
3

クレジットマスターへの対策

加盟店様側の対策手法は様々でありますが、主な対策は以下の5点です。
※完全に安心な対策はありません。犯罪手口の変化に合わせて継続的な対策が必要となります

予防策

クレジットカードの
入力回数を制限する

クレジットカードのアイコン

クレジットマスターは機械的な攻撃を繰り返す手口であるため、回数制限を設けることで試行しづらくする対策が有効です。

bot対策を行う

ロボットのアイコン

クレジットマスターではbot(ボット)という自動化ツールの使用が一般的であるため、「reCAPTCHA」などの対策ツールを導入し機械的な入力を弾くことが有効です。

不正検知システムを導入する

むしめがねのアイコン

不正検知システムとは注文を監視・審査し、不審な注文を検知するサービスです。 bot対策ツールとは異なり人間による手動の不正行為を見抜くことが可能となります。

発生時の対策

攻撃されている箇所の機能停止

手のアイコン

サイト上の会員登録・カード情報変更・決済機能など、繰り返しアクセスがされている箇所を停止することが有効です。サーバーサイドに直接フォームリクエスト送信されている場合に備え、可能な限りサーバーサイドでの機能停止を推奨いたします。

不正なアカウントや注文の確認

バインダーのアイコン

大量に新規登録されている不正なユーザー、アカウント、決済情報をご確認ください。チャージバック(第三者のカード不正利用を理由とする売上取消)となる可能性が高いため、取引削除、発送中止などのご対応を推奨いたします。
被害発生が確認された場合は、警察への届け出もご検討ください。

4

まとめ

クレジットマスターは犯罪行為であるため、加盟店様/決済代行会社ともに対策を講じ、無関係なクレジットカード所有者が被害にあわないようにすることが重要です。

加盟店様/カード所有者に降りかかるリスクを予防するため、引き続きクレジットマスター含むセキュリティ対策についての情報収集/検討/対応のほど、どうぞよろしくお願いいたします。