クレジットマスターとは? | 被害防止のためにやるべきことを解説
クレジットマスターという攻撃をご存じですか?クレジットカード番号を生成する際の規則性を利用して、他人のクレジットカード番号を割り出す手口のことです。
この手口の恐ろしいところは、クレジットカードを盗まれたり、番号を見られたりしていなくとも、クレジットカードを持っているだけで被害を受ける可能性があることです。
今回はクレジットマスターの概要とともに事業者やクレジットカード利用者ができる対策についてご紹介いたします。
クレジットマスターによる被害を防ぐことはなかなか難しいですが、必要な対策を講じておくことで、いざ被害にあっても落ち着いて対応できるでしょう。
目次
クレジットマスターとは?
クレジットマスターとはどういった攻撃なのでしょうか?
ここでは、攻撃の手口やクレジットカード番号の規則性についてご紹介いたします。
クレジットマスターの手口
一般社団法人日本クレジット協会が公表する「クレジットカード・セキュリティガイドライン【4.0 版】」によると、クレジットマスターとはクレジットカード番号の採番の規則性を悪用して機械的に生成した大量のクレジットカード番号等の有効性を、EC サイトを介して確認し、有効なクレジットカード番号等を不正利用する手口。
とされています。
この有効性の確認はbotなどにより自動化されていることが多く、複数のECサイトの決済ページへ大量にアクセスすることにより効率的に有効なクレジットカード番号等を割り出しています。
なお、クレジットマスターの手口が最初に確認されたのはアメリカで、1989年であると言われております。日本での確認は1999年頃からであり、2009年には国内で初めて摘発者が出ています。
(出典:一般社団法人日本クレジット協会 クレジットカード・セキュリティガイドライン【4.0版】)
クレジットカードの規則性
こうした手口が成立するのは、クレジットカード番号に規則性があるためです。
まず、クレジットカード番号は14桁~16桁の数字で構成されており、国際ブランドにより桁数が異なります。
ブランド名 | 桁数 |
---|---|
Visa・Mastercard・JCB | 16桁(4桁・4桁・4桁・4桁) |
American Express | 15桁(4桁・6桁・5桁) |
Diners Club | 14桁(4桁・6桁・4桁) |
クレジットカード番号の最初の6桁は「銀行識別番号(BIN)」、7桁目から最終桁の1つ前までは「会員口座番号」、最後の1桁は「チェックデジット」となっています。
「銀行識別番号(BIN)」
銀行識別番号(BINコード)を見ればどこのカード会社が発行したクレジットカードなのかがわかるようになっています。
特に最初の1桁目は「主要産業識別子」と呼ばれ、カードを発行した会社の産業分類を表します。例えば、JCB・American Express・Diners Clubは「3」、Visaは「4」、Mastercardは「5」となっています。
なお、「銀行識別番号(BIN)」は 発行者識別番号(IIN)とも呼ばれます。
「会員口座番号」
保有者個人を識別するための番号となっており、カード会社が割り当てています。
「チェックデジット」
クレジットカード番号の誤入力を検出するために利用されます。この仕組みがあることで、ECサイト等で利用者がクレジットカード情報の入力をミスした場合に検知できる仕組みになっています。
クレジットマスターの被害状況
日本クレジット協会が公表する「クレジットカード不正利用被害の集計結果について」によると、2023年(1月~12月)に発生したクレジットカードの不正利用の総額は540.9億円となっております。2022年は436.7億円であったため、この1年で約100億円も被害額が増加しています。
また、クレジットカード不正利用被害額の内訳を見ると「番号盗用被害」は504.7億円であり、全体の93.3%となっています。クレジットマスターによる攻撃はこの「番号盗用被害」に含まれます。全てがクレジットマスターによるものではありませんが、近年の傾向を見ると今後も「番号盗用被害」による被害は増加していく可能性が高いです。
「番号盗用被害」に関する攻撃は以下の関連コラムでも紹介しております。
(出典:一般社団法人日本クレジット協会 クレジットカード不正利用被害の集計結果について)
クレジットマスターを受けてしまうと?
実際にクレジットマスターを受けるとどうなるのでしょうか。ここではECサイトなどを運営する事業者とクレジットカードの利用者の観点からご説明いたします。
事業者側への影響
販売機会の損失
クレジットマスターによりECサイトへのアクセスが集中すると、サーバーに負荷がかかりサイトへアクセスしづらくなります。その場合、一時的にクレジットカード決済を停止するなどの対処を行う必要があります。
ECサイトでの決済ではクレジットカードが利用されるケースが多いため、クレジットカードが利用できないことで販売機会の損失が発生する可能性があります。
サイトの信頼性低下
クレジットマスターによりクレジットカード決済を停止してしまうと、利用者からサイトのセキュリティを疑われる可能性があります。また、攻撃者からもセキュリティが甘いECサイトだと認識され、攻撃されやすくなるリスクもあります。
もし、攻撃者による不正アクセスを許してしまえば、お客様の個人情報やクレジットカード情報などの重要情報が窃取されてしまうかもしれません。
オーソリゼーションの大量発生
オーソリゼーションとは、決済に使われようとしているクレジットカードが利用可能かどうかをクレジットカード会社に確認する手続きのことです。 オーソリゼーションは無料で利用できるわけではなく、事業者側がクレジットカード会社に手数料を支払って利用しています。そのため、クレジットマスターによる攻撃を受けてしまうと大量のオーソリゼーションが発生し、事業者の手数料負担が増加します。
クレジットカードの利用者側への影響
クレジットカードを不正に利用される
クレジットマスターによる攻撃が成功すると、そのクレジットカードは不正に使われます。攻撃者は、利用者に不正利用だと気づかれないようあえて利用額を少なくしたり、期間をあけて利用したりするなどあの手この手を使ってきます。
クレジットカードの利用停止手続きを行う必要がある
クレジットカードを不正利用された場合は、カード会社に連絡し、クレジットカードが利用できないよう停止してもらう必要があります。一度クレジットカードを停止すれば再発行が必要となり、新しいカードが届くまではクレジットカードを利用できません。クレジットカード番号も変わってしまうため、公共料金の引き落としなどでクレジットカード決済を利用している場合は、その変更手続きも必要となります。
クレジットマスター対策のためにできること
では、クレジットマスターによる攻撃への対策としてどういったことを行えばよいのでしょうか。事業者側とクレジットカード利用者側の観点でご説明いたします。
事業者側の対策
bot対策ツールの導入
bot対策ツールとして有名なものとして「reCAPTCHA」があります。reCAPTCHAはGoogleが提供しているもので、誰でも導入することが可能です。また、SaaS型のECサイトなどでは機能として提供されているケースも多いです。
Webサイトのお問合せフォームやサービスのログイン画面などで「私はロボットではありません」と記載されたチェックボックスを見たことがある方が多いと思いますが、それが「reCAPTCHA」です。チェックボックスの他に、タイル状になった画像から指定された箇所を選ぶようなパターンもあります。
最新の「reCAPTCHA(v3)」では、「私はロボットではありません」のチェックボックスにチェックを入れたり、タイル状になった画像から指定された箇所を選ぶといった操作は不要となっており、ユーザーによるアクセスか、botによるアクセスなのかを自動で判定できるような仕組みとなっています。
クレジットカード情報の入力回数を制限する
決済画面でのカード情報の入力回数を制限することでクレジットマスターによる大量アクセスを軽減することができます。一方で、あまり入力回数を制限しすぎると正規のユーザーの利用に支障が出る可能性があるため、そのあたりも考慮したうえで設定するようにしましょう。
本人認証サービスを利用する
3Dセキュア(本人認証サービス)とは、ECサイトなどインターネットでのクレジットカード決済時の不正利用を防止するために、カード発行会社が提供している無償のサービスです。
国際ブランドのカード会社も推奨している「EMV3-Dセキュア(3-D セキュア2.0)」は、カード保有者のデバイス情報等を用いて不正利用のリスクを判断するとともに、必要に応じてパスワード入力を要求することで安全性を確保しています。
「クレジットカード・セキュリティガイドライン【4.0 版】」によるとEC 加盟店における非対面不正利用被害が増加している現状を踏まえ、2025年3月末までに、原則、全ての EC 加盟店に EMV 3-D セキュアの導入を求めることとする。
としており、不正利用防止のための対策が進められています。
先ほどご紹介したオーソリゼーションでは、本人確認までは行えませんので、本人認証のサービスを導入することはとても重要です。
(出典:一般社団法人日本クレジット協会 クレジットカード・セキュリティガイドライン【4.0版】)
クレジットカードの利用者側の対策
クレジットカードの利用明細を確認する
定期的に利用明細を確認し、身に覚えのない利用履歴がないかどうかを確認するようにしましょう。 いつもと比較して請求額が高額であれば容易に気づくことができますが、不正利用された金額が少額である場合は利用明細を見なければ気がつかない可能性があります。
クレジットカード利用時に通知されるよう設定する
最近は、クレジットカード利用時に利用場所、日時や金額などを通知するサービスがあります。不正利用があってもすぐに気づけるよう必ず設定しておきましょう。
まとめ
クレジットマスターは、クレジットカードを持っている人であれば誰でも被害に遭う可能性があります。ECサイトなどを運営する事業者側の対策も重要ですが、クレジットカードの利用者も不正利用に気づけるようクレジットマスターとはどういった攻撃なのかを理解した上で、対策を行うことが大切です。 実際に被害があった際にすぐに対応できるようこれを機にクレジットカード会社への連絡先を確認したり、ずっと利用していないクレジットカードは整理したりなどして被害に備えましょう。