ECサイトのクレジット決済機能を狙った攻撃

こんにちは。ふくしまです。

弊社でECサイトを構築させて頂いたお客様から、先日このような問い合わせがありました。

「海外から大量にクレジット決済の注文が入っている」

通常ではありえない量の注文が同時刻に大量に行われていたため、詳しく調査を行いました。

クレジット決済機能を狙った攻撃

不自然に同時刻に海外からの注文であったため、攻撃であることは明白です。

調査を進めると、クレジットマスターという手口ある可能性が高いことが判明しました。

クレジットマスターとは

今回お客様が受けた攻撃は「クレジットマスター」と呼ばれる手法です。

クレジットカードのカード番号には、一定の規則性があるため、プログラムである程度推測することができます。

推測といっても簡単にカード番号が見つかるわけではなく、プログラムによりカード番号を何万パターンと生成します。

プログラムが自動生成したカード番号なので、実際に使えるカード番号はその何万件のうち数件に絞られるのですが、実際に使えるカード番号かどうかを確認する目的でお客様のECサイトのクレジット決済機能が利用されました。

ECサイト側の被害

実際に使えるカード番号で決済をされてしまった場合、カードの持ち主は当然金銭的被害を受けることになるのですが、ECサイト運営者側としても被害が発生します。

クレジット決済は一般的に、決済が行われるたびに決済手数料が発生し、ECサイト運営者側が決済手数料を決済代行会社に支払います。

当然、決済自体は架空の氏名や住所で行われているため、商品を購入者に送ることができませんし、不正利用のカードなので売り上げは入ってこないでしょう。

そうすると、売り上げは０円なのに、決済手数料は決済代行会社に支払わないといけないといった状況が発生してしまいます。

ECサイトでできる対策

一番の対策は、セキュリティコードや3Dセキュアといった本人認証サービスを使うことです。

ECサイトでクレジット決済を行う際に、カードの裏面の数字3桁を入れたりすることがありますが、そのような機能です。

ただ、決済代行会社がセキュリティコードや3Dセキュアに対応している必要があります。

まとめ

今回のお客様は、ひとまずセキュリティコードが使用できる決済代行会社へ変更されることになりました。

これでひとまず安心だと思います。