ニュース

カード決済の不正な大量アタック(クレジットマスター)の増加と対策について(2023/01/13)

現在、EC-CUBEを含め国内のネットショップで、クレジットマスター攻撃が急激に増加しています。
購入フローなど通常の機能を利用するこの攻撃は、プラットフォームや利用システムを問わず発生することが確認されています。

また、この大量アタックは普段の店舗の売上規模、アクセス件数などに関わらず発生し、発生した場合、カード情報の照会を行ったトランザクション処理料として、数十万〜数百万の費用が加盟店に請求されることになります。
ネットショップの通常の機能を悪用するものであるため、完全な遮断は難しいですが、決済代行会社のオプションを利用するなど、加盟店、運営者自らの対策によりリスク軽減が可能です。下記ご確認の上、今一度対策のご検討をよろしくお願いいたします

■クレジットマスター攻撃とは:
ネットショップで、カード情報に入力ミスがあると、エラーが表示されます。
この仕組みを悪用し、「与信OK」になるまでカード番号・有効期限・セキュリティコードを入力することで、有効なカード情報を特定する攻撃を「クレジットマスター」といいます。



■対策方法例:
【1】決済代行会社が提供するオプションのご契約
ご契約いただいている決済代行サービスのオプション等をご確認ください。
不正対策オプションや大量アタック遮断サービスなどのオプションがある場合がございます。
詳細については、各サービス提供会社様にお問い合わせください。

※EC-CUBE公式決済のご案内
EC-CUBEの公式決済「EC-CUBEペイメント」では、不正検知(リトライ回数制限)対応機能が搭載されており、また不正対策オプションや大量アタック遮断サービスなど対策オプションも豊富に取り揃えております。

EC-CUBEペイメントのご紹介ページ
https://www.ec-cube.net/product/payment/

【2】reCAPTCHAプラグインの利用
reCAPTCHAという、フォーム入力者を判別し、不正アクセスや悪質なbotによる入力を防ぐ機能を利用した対策方法です。
オーナーズストアでもreCAPTCHAのプラグインが複数提供されていますので、ご利用をご検討ください。
https://www.ec-cube.net/products/list.php?category_id=&keywords=reCAPTCHA

【3】WAF等で大量アクセスの検知や海外のIPからのアクセスを遮断する
IPアドレスだけでなく、アカウント単位や該当ページへの短期間での大量アクセスの検知を行い必要に応じてアクセスを制限したり、国内からの購入のみであれば海外からのアクセスを制限することも可能です。

【4】不正検知サービスの利用
クレジットマスター攻撃に対応した機能を搭載している不正検知サービスを利用することでサービスのポリシーにそって大量アクセスを遮断するなどの対応が可能です。

不正検知サービスのご紹介ページ
https://www.ec-cube.net/info/security/efforts.php#index_tool


■最新版EC-CUBEのクレジットマスター対策:
2023年2月末リリース予定、EC-CUBEの最新版「EC-CUBE 4.2.1」では、クレジットマスターへの抑止として、スロットリング機能を追加する計画です。これにより、一定時間内のリクエスト制限を設けることができます。
※現在はログイン機能の試行回数制限機能が搭載

現在開発中の「EC-CUBE 4.2.1」は、2023年1月19日に実施した開発進捗説明会で、EC-CUBE 4.2.1 で提供されるセキュリティ関連の機能強化についてデモを交えてご紹介しました。特にクレジットカード決済の入口対策として新たに強力セキュリティ強化機能をご紹介しております。その様子は以下のYoutubeで閲覧できますので、ぜひご覧ください。

EC-CUBE4.2.1 開発進捗説明会
https://youtu.be/CDsnf3JXx-M