クレジットマスターとは?攻撃の手口や最新被害・対策を解説|サイバーセキュリティ.com

クレジットマスターとは?攻撃の手口や最新被害・対策を解説



クレジットカードの不正利用には、「スキミング」や「フィッシング詐欺」といった手口があります。これらの手口は、現在利用しているクレジットカードが対象です。「クレジットマスター」は、使用状況にかかわらず、全てのクレジットカードが攻撃対象となり得ます。

この記事では、クレジットマスターの手口や具体的な被害を解説します。被害を防ぐための対策も紹介しますので、ぜひご覧ください。

クレジットマスターとは

クレジットマスターとは、他人のクレジットカード番号を特定する不正行為です。攻撃者はクレジットカード番号の規則性を悪用し、他人のカード番号を割り出します。取得したクレジットカード番号は、通販サイトやオンライン決済で不正利用されます。カードを盗んだり不正に読み取ったりする作業が不要なため、誰しも被害に遭う恐れがある手口です。

クレジットマスターの手口

クレジットマスターはクレジットカード番号の以下の規則性を突き、カード番号を特定します。

  • 国内のクレジットカード番号は16桁
  • 先頭6桁の「BINコード」はカード発行会社の固有番号
  • 残り10桁は個人番号
  • 有効期限は主に3〜5年
  • セキュリティコードは3桁または4桁

通販サイトの中には、クレジットカードの「氏名」の入力が不要なサイトが数多くあります。そうしたサイトの決済画面で「生み出したカード番号」と「有効期限」「セキュリティコード」を総当たりし、正しい組み合わせを特定する仕組みです。

カードを使っていなくても被害に遭う

クレジットマスターは他の不正利用の手口と異なり、クレジットカードを使っていなくても被害に遭う可能性があります。カードそのものを用いず、他人のカード番号の特定が可能だからです。たとえ全く使っていないクレジットカードであっても、番号を割り出されてしまえば不正利用の被害が生じます。ATMや店頭でカード情報を抜き取るスキミングや、カード番号を盗み見る行為とは根本的に違う点に注意しましょう。

クレジットマスター最新被害状況

クレジットマスターによる被害状況は、日本クレジット協会が2022年に公表した調査資料(※1)が参考になります。2021年における国内クレジットカードの不正利用被害総額330.1億円のうち、「番号盗用」による被害額は311.7億円でした。クレジットマスター以外の手口も含まれるものの、番号盗用の被害額は被害総額の94.4%を占めています。千年の2020年度の番号盗用による被害は223.6億円・全体比88.4%でしたので、増加傾向にあるとわかります。

また、同統計の2022年12月末の発表(※2)では、2022年1〜9月の不正利用被害総額は309.2億円となりました。前年同期間は236.9億円であるため、2022年全体の被害総額も前年度を大きく上回ると予想できます。

※1出典一般社団法人日本クレジット協会「日本のクレジット統計2021年版

※2出典一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について

クレジットマスターの被害にあうと起こる損失

クレジットマスターの被害にあうと、具体的にどのような損失を被るのでしょうか。ECサイトなどのサービス「利用者側」と「運営側」に分けて紹介します。

利用者側の被害

利用者側は、主に「不正利用される」と「カードが使えなくなる」の2つの被害が生じます。

1.不正利用される

第一に発生するのが、クレジットカードの不正利用です。通常、普段使わないサービスで多額の購入があると、カード会社から利用確認の連絡がきます。しかし、発覚を遅らせるために攻撃者が利用額を調整してしまえば、利用確認の連絡はされません。複数のECサイトやキャッシュレスサービスでカードを使い回されると、多額の請求が来るでしょう。利用明細を見るまで気付かないパターンもありえるため、注意が必要です。

2.カードが使えなくなる

クレジットカードの不正利用が発覚し、カード会社に連絡すると当該カードは利用停止になります。新規カードが発行されるまでの間、クレジットカードは使えません。キャッシュレス派の人は、日常で不便な思いをしてしまうでしょう。さらに、不正利用による再発行はカード番号が変わるため、各種サービスの支払い情報を変更する手間も生じます。

運営側(ECサイト側)の被害

続いて、運営側(ECサイト側)に起きる被害を5つ見ていきましょう。

1.サイバー攻撃の対象になる

クレジットマスターは、カード番号を割り出す過程でECサイトの決済画面を悪用します。厳重なセキュリティ体制のサイトであれば、クレジットカードの試行回数制限や、氏名・住所の入力も求めます。ゆえに、カード番号の割り出しには使用できません。逆を言えば、カード番号の割り出しに流用できるサイトは、「セキュリティ対策が緩いサイト」と判断されるわけです。サイト自体がサイバー攻撃の標的とされ、不正アクセスなどの攻撃を仕掛けられてしまうかもしれません。

2.金銭的被害が生じる

運営側には、カード決済の可否を処理する「オーソリゼーション」の手数料が発生します。攻撃者がカード番号を割り出すために何度も決済認証を繰り返すことで、オーソリゼーションの処理手数料が生じてしまうわけです。加えて、自社サイトでカードが不正利用されると、「チャージバック」の負担も発生します。チャージバックとは、不正利用されたクレジット決済の売上を取り消し、ユーザーに返金する仕組みです。チャージバックの代金は事業者が負担する上に、発送してしまった商品も手元には戻りません。

3.サーバー障害が起きる

クレジットマスターは、カード番号を特定するために膨大な回数の認証を繰り返します。過大なアクセスによる負荷に耐えきれず、サーバーに障害が発生するかもしれません。また、サイバー攻撃の対象とされ、サーバーがダウンするパターンも考えられます。いずれにせよサーバー障害が起きれば、復旧作業の費用負担も生じるでしょう。原因となった決済システムを一時的に停止する場合もあります。

4.個人情報漏洩の可能性もある

サイバー攻撃の対象となった場合、個人情報が流出する恐れがあります。クレジットマスターの試行に悪用できてしまうサイトは、セキュリティ対策が甘いサイトです。したがって、攻撃者は個人情報も簡単に盗めると判断する可能性があります。「クレジットマスターを試行できる」といった脆弱性は、サイトへの攻撃意欲を高めてしまうわけです。

5.顧客からの信頼を失う

サービス停止や個人情報の漏洩は、顧客からの信頼を失う原因となります。決済システムの一時停止は顧客の利便性を損ね、競合サービスへ流れてしまうかもしれません。顧客離れに繋がりかねないため、クレジットマスターを実行できない仕組みづくりが重要です。

クレジットマスター被害にあわない為の対策

クレジットマスターの被害にあわないために、どのような対策をすべきでしょうか。「利用者側」と「運営側」に分け、詳しく解説します。

利用者側の対策

利用者側ができる3つの対策を確認しましょう。

1.利用通知を設定する

有効な手段の1つが、利用通知の設定です。クレジットカードの利用時に、設定したメールアドレス宛に利用日時や店舗、購入金額が通知されます。身に覚えのない利用通知であれば即座に利用停止手続きを行えるため、早期対処に役立つでしょう。通知先はメールやLINEなどから選べる場合もあるので、カード会社の設定を確認してみてください。

2.利用明細を定期的に確認する

クレジットマスターによる不正利用を防ぐ上で、利用明細の確認は欠かせません。月1回の明細確認はもちろんのこと、さらに細かい頻度でチェックすると不正利用の早期発見が可能になります。「買い物ごと」や「週1回」など、利用明細の確認を習慣づけると良いでしょう。多くのクレジットカードはスマホアプリから簡単に明細を閲覧できるので、アプリを活用してみてはいかがでしょうか。

3.カードに利用制限を付ける

カードの利用制限サービスも、クレジットマスター対策として効果的です。カード会社によって詳細は異なりますが、「海外サイトの利用制限」「利用可能サイトの個別指定」などの設定を行えます。必要な範囲のみで利用できる状態にしておくことで、カード番号が特定されても不正利用される可能性を下げられます。

運営側(ECサイト側)の対策

運営側(ECサイト側)が行うべき対策は多数ありますが、とりわけ重要な3つの対策を紹介します。

1.クレジットカードの入力回数を制限する

基本の対策として、クレジットカードの入力回数を制限しましょう。クレジットマスターは、カード番号と認証情報の組み合わせが判明するまで総当たりする手口です。回数制限を設けることで、自社サイト上でクレジットマスターを試行しづらくなります。クレジットマスターによるサーバー負荷などの二次被害の予防にもなるため、回数制限の設定は大切です。

2.bot対策を行う

botによる自動入力を防ぐために、「reCAPTCHA」などのbot対策ツールを導入しましょう。クレジットマスターは、「bot(ボット)」と呼ばれる自動化ツールの使用が一般的です。botによる膨大な試行により、カード番号や認証情報を割り出します。bot対策ツールで機械的な入力を弾くことで、自社サイトがクレジットマスターに悪用されにくくなります。

3.不正検知システムを導入する

bot対策と合わせて行いたいのが、不正検知システムの導入です。不正検知システムとは、ECサイトの注文を監視・審査し、不審な注文を検知するサービスです。bot対策ツールが苦手な「人間による手動の不正行為」を見抜けます。ただし、利用料金がかかるため、予算に余裕がある企業向けの対策となるでしょう。

クレジットマスターの被害にあってしまったら

クレジットマスターを含むクレジットカードの不正利用が発覚した際は、冷静な行動が大切です。万一の事態に備え、「利用者側」と「運営側(ECサイト側)」がやるべき行動を把握しておきましょう。

利用者側がやること

利用者側がやるべき行動を3つの手順に沿って解説します。

1.カード会社に連絡し利用を止める

不正利用が発覚したら、すぐにカード会社に連絡し利用停止手続きをお願いしましょう。早々に利用を停止することで、被害拡大を防げます。一般的に、手続きは電話だけでなくオンライン上からも可能です。

2.クレジットカードの補償を申し込む

多くのクレジットカード会社は、不正利用に対する補償制度を用意しています。たとえば、三井住友カードや楽天カードは、利用停止手続きから60日前までの損害額を返金してくれます。不正利用と認められればチャージバックにより全額返金されるので、必ず補償を利用しましょう。クレジットカード会社の補償期間を超えると返金されないため、早期の被害発覚が重要です。

3.クレジットカードの再発行を行う

不正利用されたクレジットカードを利用停止した場合、カードを再発行しなくてはいけません。基本的に、利用停止手続きと同時に新規カードの発行手続きも行います。新規カードは、手続きから約1週間で郵送されます。旧カードはハサミで細かく切り、小分けにして捨てましょう。

運営側(ECサイト側)がやること

運営側(ECサイト側)が「自社サイト上でクレジットカードが不正利用されているかも」と気づいた場合、次の3つの手順で対処しましょう。

1.カード会社や購入者に確認する

クレジットカード不正利用の疑いを検知したら、まずはクレジットカード会社または購入者に連絡しましょう。具体的には「換金制が高い商品の大量または繰り返し注文」や、「配送先が普段の住所に全く関連がない」といったケースです。商品の発送前であれば、発送はせずにクレジットカード会社や購入者の確認を待ちましょう。

2.カード決済の一時停止を検討する

不正利用であるとの確認を得たら、カード決済の一時停止を検討しましょう。今後さらに自社サイトで不正利用が相次げば、チャージバックの代金負担がかさみます。商品発送後の場合、不正な注文者から商品が返品される可能性は限りなく低いです。チャージバックの負担や利用者への影響を考慮し、カード決済の継続または一時停止を判断します。一時停止する際は、不正対策の見直しが終わるまでは停止しましょう。

3.不正対策を見直す

自社サイトのセキュリティ体制をチェックし、不正対策を見直します。クレジットカードの不正対策として有効な手段が、「3Dセキュア(本人認証サービス)」の導入です。3Dセキュアとは、セキュリティコードや氏名に加え、カード保持者しか知らないパスワードの入力を求める認証サービスです。オンライン上の不正対策に非常に効果的ですので、導入してみてはいかがでしょうか。

まとめ

クレジットマスターは、カード番号の規則性を悪用し、他人のカード番号を特定する攻撃手口です。割り出したカード番号は、オンラインショップなどの不正注文に用いられます。利用者は不正利用による金銭的被害が生じるため、利用明細の定期的な確認が重要です。事業者もECサイトのセキュリティ対策を強化し、クレジットマスターの試行や不正利用が行われないようにしましょう。


SNSでもご購読できます。