• その他
  • 最終更新日:2022.7.19

クレジットマスターの5つの対策方法!不正利用が発覚した際の対処法も解説

クレジットマスターとは、クレジットカードの番号の規則性に従い、他人の番号を割り出す不正利用を指します。

2020年のクレジットマスターによる被害額は200億円を超えるほどで、今もなお不正利用が行われています。

特にクレジットカード支払いを設定しているECサイトやサービスを提供している場合、不正利用による商品の購入が発生すると、後日クレジットカード会社から返金を求められることがあります。

もしも不正利用者のもとに商品を発送してしまった場合は、商品代を肩代わりしなければなりません。

被害者を増やさないためにも、クレジットマスターの対策が必要になります。

本記事では、以下の内容を解説します。

  • クレジットマスターの5つの対策方法
  • クレジットマスターが発覚した場合の店舗側(ECサイト)の対処法
  • クレジットカードを不正利用された個人の対処法

クレジットカードの支払い手段に応じている企業は、本記事を参考にしてください。

監修者

松本 悦宜(まつもと よしのり)

Capy株式会社ホワイトハッカー
例年ラスベガスで行われている世界最大のハッカーのイベントBlack Hatに登壇している。
IPA(情報処理推進機構)が運営する産業サイバーセキュリティセンターにて非常勤講師として中核人材向けのITセキュリティを教えている。


クレジットマスターの対策例5つ

クレジットマスターの5つの対策方法を費用のかからない順に並べました。

  • クレジットカードの入力回数の制限をつける
  • reCAPTCHAを導入する
  • 本人認証サービスの3Dセキュアを利用する
  • キャッシュレス決済アプリでの決済を導入する
  • 不正検知サービスを導入する

クレジットマスター対策では、水際対策を徹底することが大切です。対策方法について詳しく解説していきます。

クレジットカードの入力回数の制限をつける

クレジットマスター対策として、クレジットカードの入力回数に制限を設けましょう。

入力回数の制限は決済代行会社に連絡するか、ECサイト構築サービスを使っている場合は入力回数制限の設定を変更する必要があります。

参考:ECサイトの作り方と成功するための運営方法、事例まで徹底解説

入力回数の制限を行うことで、クレジットカード番号を判別するための総当たり攻撃の防止や不正アクセスによるサーバーへの負荷を軽減できます。

クレジットマスターの手口は、クレジット番号を自動で生み出し、セキュリティコードと有効期限を何度も入力する総当たり形式で番号の割り出しを行います。

ECサイトにクレジットカードの入力制限が設けられていない場合は何度もテストできる状態であるため、クレジットマスターが行いやすい環境といえます。

クレジットカードの入力回数制限を設けることでクレジットマスター対策になるだけでなく、クレジットカードの番号割り出しのための不正アクセスを防ぎ、サーバーダウンの防止にもつながります。

ただし、入力制限を設けると一般利用者の入力間違いが連続した場合、支払い方法にクレジットカードを選択できなくなってしまうため、その点を考慮した上で導入を検討してください。

reCAPTCHAを導入する

reCAPTCHA

クレジットマスター対策にはreCAPTCHAを導入するのも1つの方法です。

reCAPTCHAとは、フォーム入力者を判別し、不正アクセスや悪質なbotによる入力を防ぐ機能です。

ログインやクレジットカード入力時に以下のような表記が出てくるものは全てreCAPTCHA機能によるものです。

  • 歪んだ文字列の入力
  • 「私はロボットではありません」のチェックボックス
  • 「バスの画像をすべて選択してください」などの画像選択

人の手によるクレジットマスターは防ぎ切ることは難しいですが、AIや悪質なbotを用いた入力を防止できます。

ただし、防止機能が強力で稀に人のアクセスも遮断してしまう可能性があるため注意が必要です。

特に個人情報を取り扱っている会員制のサイトは導入をおすすめします。

参考:reCAPTCHA v3 | Google Developers

本人認証サービスの3Dセキュアを利用する

ECサイト運営などのクレジットカードによる支払いが多いサービスを運営している場合は、本人認証サービスである3Dセキュアを利用しましょう。

3Dセキュアとは、オンライン上でのクレジットカードの不正利用を防ぐための本人認証システムです。

3Dセキュアを導入すれば、クレジットカード利用時にワンタイムパスワードの発行や生体認証(指紋・瞳など)、所有者が設定したパスワードが必要になるため、不正利用が難しくなります。

参考:不正アクセスを防ぐ「ワンタイムパスワード」とは?利用シーンやSMSを使った発行方法まで解説

本人確認は「配送先が普段の注文と違う住所」「決済に利用しているデバイスの違い」など不正利用が疑われる場合のみ認証画面が表示される仕組みです、

これらの状況をリアルタイムで分析し、不正利用の可能性を判別します。

これをリスクベース認証とよび、これに引っかかる取引が確認された場合は、本人確認の認証を実施し、不正利用を防ぐことができます。

また、クレジットマスターによる不正利用で消費者の意図なく商品が購入された場合、クレジットカード会社が消費者を守るために代金の支払いを取り消すことができます。

ECサイト運営側が商品を不正利用者の元に発送してしまった場合、商品の返還も売上金の回収もできないチャージバックが発生します。

しかし、3Dセキュアを導入しておけば、本人確認を行った上で商品の販売を行うために、チャージバックで発生した損失はクレジットカード会社が補償してくれます。

3Dセキュアの利用は契約している決済代行会社やECカートシステムによって異なりますので、契約先に確認する必要があります。

契約先の決済代行会社やECカートシステムが3Dセキュアに対応していない場合は、乗り換えも検討してみましょう。

参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介

不正検知サービスを導入する

ECサイトなどから商品の注文があった際、徹底した審査を行って不正利用を検知する不正検知サービスの導入を検討しましょう。

不正検知サービスは以下のような悩みを抱えている方におすすめです。

  • 売れたと思ったらチャージバックがきた
  • 不正注文がないかを黙示チェックしているが運用が大変
  • 怪しい動きをするアカウントが複数ある

不正検知サービスでは、怪しい行動を見逃すことなく、不正利用を徹底的に排除できます。

電話番号の開通状況や空き室情報、端末情報など幅広いデータを用いるほか、不正者特有の買い方や他社での類似する不正利用を検知します。

クレジットマスターによる不正利用を判別できるだけでなく、注文から商品を発送する間に不正を見抜くことができるので、チャージバックの心配もありません。

ただし、不正検知サービスは契約が必要であり、初期費用や月々の利用料金がかかります。

不正検知サービスは初期費用に10〜30万円、月々3~5万円の費用がかかります。

年間で50万円程度かかりますので、売り上げに余裕のある企業は導入を検討しましょう。

キャッシュレス決済アプリでの決済を導入する

現金かクレジットカード決済のみの支払い方法しか対応していない場合は、決済アプリでの決済も導入しておきましょう。

決済アプリはアカウントと連動して支払いが行われるため、クレジットマスターの影響を受けることはありません。

また、キャッシュレス決済アプリを導入しておけば、クレジットマスターによる不正利用が発覚し、クレジットカードでの支払いを止めた場合でも決済アプリの支払いにスムーズに移行できるのでサービスを止める必要はありません。

キャッシュレス決済会社については以下の記事を参考にしてください。

参考:キャッシュレス決済のおすすめ会社9選を比較!手数料、選び方なども徹底解説


クレジットマスターの被害を受けた場合の対処法

クレジットマスターを予防することも大切ですが、被害を拡大させないための対処法についても理解しておきましょう。

ここからは、商品を販売する側と購入する側のクレジットマスター被害の対処法について解説します。

クレジットマスター被害の対処法

クレジットマスターの被害を受けたECショップ側の対処法

クレジットマスターの被害を受けたECショップは被害の拡大を抑えることが大切です。

以下の順で対処しましょう。

  1. 不正利用の可能性がある場合はクレジットカード会社に確認をとる
  2. クレジットカードによる注文を止める
  3. ECサイトを一時的に閉鎖する

クレジットカードの不正利用は「ユーザーの家族がカードを使用した」など不正利用には当たらない場合がありますので、不正利用が行われているかをクレジットカード会社に確認しましょう。

不正利用が発覚した場合はクレジットカードによる注文を止め、支払い方法を現金、もしくは決済アプリに制限しましょう。

もしも、支払い方法がクレジットカードのみの場合は、ECサイトを一時的に閉鎖し、不正利用による被害の拡大を止めます。

1.不正利用の可能性がある場合はクレジットカード会社に確認をとる

クレジットカードの不正利用の可能性がある場合は、クレジットカード会社に確認をとりましょう。

配送先が普段と違う住所の場合や決済に利用しているデバイスの違い、カード番号と普段利用しているユーザーの名前が違う場合は不正利用の可能性が高いです。

このほかにも、普段注文している商品量と比べて明らかに多い場合も不正利用の可能性があります。

不正利用と思われる取引が発生した場合はクレジットカード会社に早急に連絡しましょう。

ただし、連絡後の対応までには時間がかかり、被害を抑えるために時間を要する場合が多いため注意が必要です。

2.クレジットカードによる注文を止める

クレジットマスターによる不正利用や顧客のクレジットカード情報の流出が発覚した場合は、一時的にクレジットカードによる注文を止めましょう。

クレジットカードは上限額まで商品購入等に使えるため、不正利用が発覚した時点でクレジットカードでの支払いを止めなければ被害が拡大してしまいます。

不正利用によるチャージバックが増える可能性もあり、ECサイトの損失が大きくなるため、一時的に代引きやキャッシュレス決済アプリでの決済に限定した取引を行うようにしましょう。

一定数の注文を止めるため売上への影響は大きいですが、クレジットマスターの被害拡大を止めるのには効果的な手段です。

3.ECサイトを一時的に閉鎖する

クレジットカード以外の支払い方法を登録していない場合や不正利用を早急に止めたい場合は一時的にサイトを閉鎖しましょう。

ECサイトの一時閉鎖ができない場合はショッピングカート機能を停止する方法もあります。

カート機能を一時停止する方法は以下の記事で解説されていますので、参考にしてみてください。

参考:サイトを一時停止する場合の対応方法 | Google Developers

クレジットカードによる注文を停止するのと同様に売上への影響は大きいですが、被害を止めるのには有効的な手段です。

クレジットマスターの被害を受けた所有者側の対処法

クレジットマスターの被害を受けたクレジットカードの所有者はカードの利用を早急に止める必要があります。

以下の順に対処しましょう。

  1. カード会社に利用停止を依頼する
  2. クレジットカードを再発行する
  3. クレジットカードの補償制度を利用する

他人にカード番号を知られている以上、限度額まで自由に支払いができるので、早急にクレジットカードの利用を停止する必要があります。

クレジットカードの利用を停止できたら再発行を申し込みましょう。

もしもクレジットカードを不正利用され、記憶のない取引や不正購入が行われていた場合は、クレジットカード会社の補償制度を利用しましょう。

1.カード会社に利用停止を依頼する

クレジットカードの不正利用が発覚した場合は、カード会社に利用停止を依頼しましょう。依頼方法はカード会社に電話をし、「クレジットカードを停止したい」と説明すれば、クレジットカードの利用停止が完了します。

日頃から不正利用の確認を行うために、以下の項目をチェックしておきましょう。

  • 利用日・金額
  • 家族の利用の有無
  • 店舗と支払い先名

支払い先が英語で表記されている場合や、利用した記憶のない料金を請求されている場合は不正利用の可能性があるため、そのような記載がないか注意して見ましょう。

2.クレジットカードを再発行する

クレジットカードの利用停止を依頼した後は、これまで使っていたクレジットカードが利用できなくなるため、再発行が必要になります。

また、再発行後は旧カードで支払っていた月額課金制のサービスや公共料金の支払いができなくなりますので、支払い方法の変更も必要です。

3.クレジットカードの補償制度を利用する

クレジットカードの不正利用が発覚した場合、不正利用をされた日から60日以内にカード会社に連絡すれば支払った金額を保証してもらえます。

しかし、60日を過ぎた場合は不正利用による損失を保証してもらえない可能性があるため、注意が必要です。

また、以下のような不正利用と認められないケースに当てはまる場合は補償は行われないので注意が必要です。

  • 正しい暗証番号・パスワードの使用
  • クレジットカード会員使っているIPアドレスからの利用
  • クレジットカード会員の住所に不正利用で購入された商品が届いた場合
  • 家族による不正利用
  • 使用人など家族に準ずる人の不正利用
  • カードを他人に渡していた場合

参考:クレジットカード審査の基本システムと審査基準について説明します! | GetMoney!

カード会社によっては「警察への被害届け」を条件に損失の補償を行っている場合もあります。

いずれにせよ、クレジットカードの不正利用が確認できたら、損失補償を受けるために連絡を行いましょう。


クレジットマスターに関するよくあるご質問

クレジットマスターの対策に役立つQ&Aをまとめています。

Q.クレジットマスター攻撃の仕組みはどうなっていますか?

A.クレジットマスター攻撃は、膨大な数のクレジットカード番号をランダムに生成し、実際に使用できるかどうかを試行する手法です。この攻撃は、自動化されたツールを使って短時間で大量に試行されるため、特定が難しい場合があります。

Q.クレジットマスター攻撃が成功してしまう原因は何ですか?

A.クレジットマスター攻撃が成功する主な原因は、セキュリティが不十分なウェブサイトや、過去のデータ漏洩によって流出したクレジットカード情報が悪用されることです。また、カード番号の予測が可能なアルゴリズムの存在も一因です。

Q.クレジットマスター攻撃が増加する原因は?

A.インターネットの普及とともに、オンラインショッピングやデジタル決済の利用が増加しているため、クレジットカード情報を狙った攻撃も増加しています。また、ハッキングツールの入手が容易になったことも要因の一つです。

Q.クレジットマスター攻撃の予防にはどのような教育が必要ですか?

A.セキュリティの重要性やクレジットカード情報の保護方法について教育することが必要です。具体的には、フィッシング詐欺の回避方法や、安全なオンライン取引の実践などが含まれます。

Q.クレジットマスター攻撃から企業が受ける影響は?

A.企業は、クレジットマスター攻撃によって経済的な損失を被るだけでなく、顧客信頼の低下やブランドイメージの悪化にも直面します。長期的なビジネスへの悪影響も考えられるため、対策は非常に重要です。


まとめ

この記事では、クレジットマスターの対策方法や、クレジットカードを不正利用された場合の対処法について解説しました。

クレジットマスター対策では、水際対策と不正利用された場合の被害拡大を防ぐ対処を行うことが大切です。

クレジットマスターの5つの対策方法は以下の通りです。

  • クレジットカードの入力回数の制限をつける
  • reCAPTCHAを導入する
  • 本人認証サービスの3Dセキュアを利用するを利用する
  • キャッシュレス決済アプリでの決済を導入する
  • 不正検知注文サービスを導入する
  • キャッシュレス決済アプリでの決済を導入する

クレジットマスターは入力回数の制限やreCAPTCHAの導入し、セキュリティを高めることが大切です。

クレジットマスターは古くからある不正利用の手法ですが、水際対策と不正利用された場合の対処法を理解していれば大きな損失を防ぐことができます。

この記事を参考に、社内でクレジットマスター対策や対処法の周知を行ってください。