今すぐ始める  営業にお問い合わせ 

日本で被害が急増するクレジットマスターアタックとは?攻撃手口と対策を解説

Radar
Radar

Stripe ネットワークの力で不正利用を防止します。

もっと知る 
  1. はじめに
  2. クレジットマスターアタックとは
    1. クレジットマスターの手口
    2. クレジットマスターの被害額
  3. クレジットマスター攻撃を受けた事業者側への被害
    1. オーソリゼーションの大量発生で処理費用が増加する
    2. 販売機会の損失やクレームにつながる
    3. クレジットカード決済を停止される
    4. 顧客からの信頼性低下と被害拡大の恐れ
  4. 事業者側のクレジットマスター防止対策
    1. 3D セキュアの導入
    2. bot 対策ツールの導入
    3. 不正検知システムの導入
    4. カード情報の入力回数の制限
  5. クレジットマスターによる利用者側への被害
    1. 気づかないうちに不正利用されてしまう
    2. カードを新たに再発行する必要がある
  6. 利用者側ができるクレジットマスター対策
    1. 事前にクレジットマスターを防ぐ対策
    2. クレジットマスターの被害に遭った場合の対策
  7. クレジットマスターに関するよくある質問
    1. クレジットカードの利用明細はいつ反映されますか?
    2. クレジットカード番号だけで悪用される可能性はありますか?
    3. クレジットカードの 3D セキュアの義務化はいつからですか?
  8. 事業者・利用者側でクレジットマスターを防止するために
  9. Stripe を使い始める 

クレジットマスターアタックとは、他人のクレジットカード番号を不正に取得し悪用する犯罪行為です。クレジットマスターアタックによる被害は、日本において急増しており、小売店などの事業者や、カードの名義人である所有者への影響も大きいため、クレジットマスターによる攻撃を防ぐ対策を講じる必要があります。

本記事では、クレジットマスターアタックとは何か、攻撃によってどのような被害があるのか、事業者側とカードの利用者側でそれぞれにできる対策について解説します。

目次

  • クレジットマスターアタックとは
  • クレジットマスター攻撃を受けた事業者側への被害 
  • 事業者側のクレジットマスター防止対策
  • クレジットマスターによる利用者側への被害
  • 利用者側ができるクレジットマスター対策
  • クレジットマスターに関するよくある質問
  • 事業者・利用者側でクレジットマスターを防止するために

クレジットマスターアタックとは

クレジットマスターアタックとは、クレジットカード番号の桁数の規則性を悪用して、他人のカード番号を不正に取得する攻撃手法を意味します。クレジットマスターアタックは、単に「クレジットマスター」と呼ばれたり、通称「クレマス」と呼ばれることもあります。本記事においては、これ以降「クレジットマスター」に統一して表記します。

クレジットマスターによる攻撃では、主に機械的に番号を自動生成するプログラムやソフトウェアを利用しており、これによって有効なカード番号やセキュリティーコードなどを突き止めます。つまり、人ではなく機械によって膨大な数字列を生成することでカード番号を割り出し、ランダムなアタックを大量に仕掛ける仕組みとなっています。

このようにして機械的に生成された番号が有効かどうかを特定するために用いられるのが、EC サイトなどの決済ページです。もしも、これらの番号を使ったクレジットカード決済が決済ページ上で通過してしまうと、カード番号やセキュリティコードなどの有効性が特定され、さまざまな EC サイトで不正利用されてしまう恐れがあります。

クレジットマスターの具体的な手口については、次に詳しく解説します。

クレジットマスターの手口

クレジットマスターによるランダムアタックを仕掛ける不正集団の手口について、詳しく見てみましょう。ここでのポイントは、先ほど解説したように、クレジットマスターでは「番号の規則性」をもとに機械的に番号が割り出される、ということにあります。

クレジットカード番号は国際規格ISO/IEC 7812」のもと、発行者識別番号 (IIN)、会員口座番号、チェックデジットで構成されています。発行者識別番号は銀行識別番号 (BIN) と呼ばれることもあります。

まず、先頭の 6 桁が発行者識別番号で、7 桁目以降右端から数えて2桁目までが会員口座番号、そして、最後の 1 桁がチェックデジットとなります。カード番号の末尾につくチェックデジットは、カード番号が正しい数字かどうかを特殊なアルゴリズムによって検査するための番号です。発行者識別番号は、イシュアー (カード発行会社) ごとに決められているもので、誰でも確認が可能な公開情報です。たとえば、楽天カード JCB なら「3584-03」、エポス VISA なら「4897-83」のように 6 桁の番号が割り当てられているのです。

クレジットマスターの攻撃手法では、ある程度の目星をつけて機械的に番号を自動生成し、発行者識別番号、会員口座番号、チェックデジットに加え、セキュリティコードと有効期限を組み合わせながら何度もテストを繰り返すことで、最終的に番号が割り出される手口となっています。

クレジットマスターの被害額

日本クレジット協会が公開している情報によると、2023 年の 1 月から 12 月に発生したクレジットカードの不正利用の被害総額は 540.9 億円と、過去最高の被害額を記録しました。これは、2022 年の被害総額 436.7 億円と比べると、1 年間で 100 億円を超える被害額の増加ということになります。

さらに、クレジットカード不正利用被害額の内訳では、2023 年の「番号盗用被害額」の総額は 504.7 億円で、クレジットカード不正利用被害全体の 93.3% を占めていることがわかります。

クレジットマスターは、この「番号盗用被害額」に該当しますが、すべてのクレジットマスターによる攻撃が「番号盗用被害額」というわけではありません。しかし、こうした近年の被害傾向では、クレジットマスターを含むカード番号の盗用による不正行為は年々不正手口が複雑化・巧妙化し、被害のさらなる増加が懸念されています。

クレジットマスター攻撃を受けた事業者側への被害

以下に、クレジットマスターの攻撃による事業者側への被害にはどのようなものがあるのかを解説します。

オーソリゼーションの大量発生で処理費用が増加する

オーソリとは、オーソリゼーション(Authorization)の略語で、日本語では「信用承認」、「与信確保」といいます。わかりやすくいうと、消費者のクレジットカードについて、決済できる十分な資金やクレジットを有しているかどうか、事業者側がクレジットカード会社に確認する処理のことです。事業者側は、このオーソリの発生ごとにクレジットカード会社に処理手数料を支払う必要があります。オーソリの処理手数料の目安としては、1 件につき 約 1 円から 5 円の費用がかかります。

EC サイトがクレジットマスターのアタックに遭ってしまうと、オーソリの大量発生が想定されます。そのため、たとえオーソリ 1 件ごとの手数料は少額でも、EC サイト上で膨大な数のクレジットマスターの攻撃を受けると、オーソリの費用負担が膨れ上がることにつながります。

つまり、クレジットカードが直接的にサイト上で不正利用されるケースでなくても、オーソリの大量発生によって事業者側が被害を受けてしまうことがあるのです。

販売機会の損失やクレームにつながる

クレジットマスターによる攻撃に遭うと、一箇所に大量のアクセスが集中します。そのため、システムに多大な負荷がかかり、決済処理や注文処理の速度が低下する場合のほか、顧客が EC サイトにアクセスできなくなる可能性があります。また、EC サイトでのクレジットカード決済については、一時的に利用不可能となってしまう事態も考えられます。

EC サイト上でこのような事態が発生すると、消費者は不便、不安を感じて利用をやめてしまい、結果として事業者側の販売機会の損失につながります。さらに、注文が問題なく処理されたかどうか不安を抱く消費者からの問い合わせやクレームへの対応に追われるケースも予想されます。

クレジットカード決済を停止される

クレジットカード会社では、24 時間止まることなく決済状況のモニタリングが即時に行われています。そのため、クレジットマスターの攻撃を受けた EC サイトに対して、クレジットカード会社や決済代行会社の判断のもと、クレジットカード決済を一時的に停止することがあります。

これは、クレジットマスターにおいて相反するランダムな番号が数多く用いられることで、前述したような大量のオーソリが発生し、不正が検知されるためです。つまり、検知された不正行為の調査に伴い、クレジットカード決済自体を完全に停止する必要がある場合、その期間は EC サイト上で顧客に対するクレジットカード決済サービスを、一切提供できなくなります。

顧客からの信頼性低下と被害拡大の恐れ

上述したように、クレジットカード決済が一時的に使えなかったり、商品の注文途中で EC サイトがシステムダウンした状態が続くと、多くの顧客から「決済時に問題のある安全性に欠けるサイト」と認識されてしまうかもしれません。

また、顧客から事業者に対して問い合わせたとしても、「外部からの不正行為があったため、クレジットカード決済については一時的に停止状態となっている」としか回答できないため、顧客側は余計に不信感をつのらせてしまうでしょう。

さらに、このようなクレジットマスターの攻撃を一度許してしまうと、クレジットマスターを試みる攻撃者から、セキュリティ面に弱いサイトだと思われてしまい、今後も標的にされやすくなる恐れがあります。もし自社の EC サイトで、有効なカード情報が悪意ある第三者に割り出されてしまった場合は、顧客の個人情報の漏洩ということになります。つまり、こうして第三者に知られたカード情報は他でも不正利用され、顧客への被害がさらに広がる結果となってしまいます。

事業者側のクレジットマスター防止対策

クレジットマスターによる被害に遭う確率を下げるために、事業者側ができるクレジットマスターの防止対策について見ていきましょう。

3D セキュアの導入

3D セキュア とは、EC サイトなどでクレジットカード決済を行うときの不正利用防止を目的とする本人認証システムです。ワンタイムパスワード・生体認証などが主流となっており、クレジットカード情報の入力者がカードを所有する正規の利用者であることを確認します。

たとえば、3D セキュア 1.0 に改善を重ねた現行の 3D セキュア 2.0 (EMV 3-D Secure) では、利用者の端末情報や、アクセス地域・時間帯などの細かな情報をもとにリスク判定を行うことで、クレジットカード情報の盗用による「なりすまし」などの不正利用を未然に防止します。ただし、3D セキュア 2.0 だけでは完全に不正利用を防ぎ切れないため、3D セキュア 2.0 だけに頼らないさまざまな不正防止策を講じる必要があります。

bot 対策ツールの導入

bot ツールによる対策もクレジットマスターなどの自動化された不正アクセスを防ぐ 1 つの手段です。Google が提供する「reCAPTCHA (リキャプチャ)」は、bot ツールとして有名で、誰でも導入が可能なセキュリティサービスです。

「reCAPTCHA v2」には、「私はロボットではありません」という表示に対してチェックを入れる形式と、複数枚の画像と「横断歩道を含む画像を選んでください」というメッセージに対して、正しい画像を選択する形式があります。サイト上でお問い合わせフォームを送信する際や、アカウントのログイン時によく見られます。

さらに、最新版の「reCAPTCHA v3」は、利用者のインターネット上の行動パターンを機械学習し、アクセスが人間によるものか bot によるものかを自動的に判断する仕組みとなっています。v3 では、v2 のような利用者側での操作が不要な点に加え、安全性がより優れている点が特徴的です。

不正検知システムの導入

不正検知システムは、過去の決済情報や行動をもとに不正利用を検知します。検知の際の確認項目としては、以下のようなものが挙げられます。

  • 無効または架空の住所が入力されている

  • カードの名義人が一致しない

  • 異なる端末から注文されている

  • 異なるカード番号での支払いの繰り返される

不正検知システムなら、3D セキュアでは検証し切れない不正取引をより正確に検出し、自動的にブロックすることで、自社 EC サイトの被害をより効果的に防止することができます。また、不正検知システムの場合、カード所有者である正規の利用者は、追加認証の要求などの余計な手順を踏まずに決済ができるため、利用者のショッピング体験の向上にもつながるでしょう。

Stripe はグローバル規模で増え続ける不正利用の脅威に対処し、事業者の皆さまのオンライン決済環境の最適化を後押しします。Stripe が提供する独自の不正利用防止ツール、Stripe Radar なら、日々変化する不正利用のパターンに適応可能な機械学習によって、より高度な防止対策を図ることが可能となっており、不正検知システムの開発に時間やコストをかけることなく決済フローに組み込めるため、スムーズに利用を開始することができます。

カード情報の入力回数の制限

購入者が決済画面でクレジットカード情報を入力するにあたり、入力できる回数に制限を設けることで、クレジットマスターによる大量アタックの防止につながります。

ただし、制限回数をあまりに厳しく設定すると、正規のカード所有者が間違えた情報を続けて入力してしまった場合にも利用がブロックされるため、カゴ落ちのリスクや顧客満足度が低下する可能性もあります。

クレジットマスターによる利用者側への被害

カード利用者側がクレジットマスターの攻撃に遭った場合の被害としては、以下のようなものが挙げられます。

気づかないうちに不正利用されてしまう

クレジットマスターによって有効なカード情報が割り出されると、そのクレジットカードは、第三者によって不正利用されてしまう可能性が高くなります。また、クレジットマスターの攻撃者は、利用者に不正利用だと見抜かれないようにあえて利用額を低くしたり、ある程度期間をあけて利用するなど、手口が巧妙化しています。

カードを新たに再発行する必要がある

不正なクレジットカード決済が何度も繰り返されている場合、クレジットカード会社の判断でカードの利用を停止することがあります。また、後ほど解説しますが、自分自身でクレジットマスターの攻撃に気づいた場合は、クレジットカード会社に連絡をとってカードを利用停止にしてもらう必要があります。いずれの場合も、カードを新しく発行してもらう必要があるため、それまではクレジットカードの利用ができなくなります。

利用者側ができるクレジットマスター対策

クレジットマスターによってクレジットカードが不正利用されると、利用者側にとっては金銭的な負担だけでなく、精神的にも辛いものです。ここでは、クレジットマスター被害に遭う確率を下げるため、利用者側ができる事前の防止対策と、クレジットマスターに実際に遭遇してしまったときの事後対応に分けて解説します。

事前にクレジットマスターを防ぐ対策

利用明細をこまめに確認する

利用明細を日頃からこまめにチェックする習慣をつけておくと、身に覚えのない決済について、気づきやすくなります。たとえば、1 カ月に 1 度しか利用明細を確認をしない人と、ショッピングや外食ごとに利用明細に目を通す人では、後者の方が見慣れない決済と、自分自身が行った決済かの見分けがすぐつくでしょう。

利用通知サービスを活用する

利用通知サービスとは、クレジットカード決済が行われるたびに、メールや SMS、アプリなどで通知を受けられるサービスです。このサービスを利用すると、決済完了後にリアルタイムで利用金額や日時、利用した店舗名などが通知されます。よって、自身が決済していない時に決済通知を受け取った場合は、すぐに不正利用であることが把握でき、適切に対処できます。

カードの利用制限を設定する

カード利用者として、利用シーンに分けて限度額を設定しておくとより安心といえるでしょう。たとえば、海外旅行をまったくしない方であれば、海外で利用できる限度額を最低限に設定したり、ネットショッピングで不正取引のターゲットとならないよう、一度に高額な取引が行えないようにしておくなど、シーンに応じて個別に制限をかけておくことも大切です。

クレジットマスターの被害に遭った場合の対策

事業者側、利用者側がいかなる防止策を事前にとっていたとしても、クレジットマスターの被害に遭遇してしまうこともあります。ここでは、利用者が被害に遭った場合、何をすべきかについて解説します。

クレジットカード会社に連絡してカードの利用停止を依頼する  

不正利用に気付いた時点で、すぐにクレジットカード会社に連絡し、カードの利用停止を依頼しましょう。不正利用が判明すれば、支払いの拒否や「チャージバック」によって返金を要求することもできます。

補償制度を利用する

クレジットカードの利用停止後は、補償制度を利用してみましょう。補償内容はクレジットカードによって規定が異なりますが、不正利用が認められた場合は、消費者の救済措置として各社で設置されている補償制度を利用することができます。したがって、突然のクレジットマスターによる攻撃を受けた際に、落ち着いて行動できるよう、補償制度の内容についてもあらかじめ確認しておくようにしましょう。

クレジットマスターに関するよくある質問

クレジットカードの利用明細はいつ反映されますか?

タイミングとしては、店舗からクレジットカード会社に利用データが送信されると、利用明細に反映されます。たとえば、クレジットカード決済後に店舗からすぐに利用データが送信される場合、決済を行ってから実際に利用明細に反映されるまでに 2、3 日ほどかかるのが一般的です。ただし、店舗によってデータの送信時期は異なるため、反映までに数週間から数カ月かかるケースもあります。

このように、商品の購入時にクレジットカードを使って代金を支払った場合は、すぐに利用データが利用明細に表示されるわけではないことを理解しておきましょう。

クレジットカード番号だけで悪用される可能性はありますか?

クレジットカードには、クレジットカード番号のほか、セキュリティコード、有効期限などのさまざまな情報が登録されています。カード番号を第三者に知られてしまったことで、悪用されると心配される方もいるかと思いますが、通常は、カード番号やセキュリティコード、これらの 1 つだけが流出したとしても、不正利用が成功する可能性は低いと考えられています。

なぜなら、EC モールでのオンラインショッピングや、インターネット上のデジタルサービスへの申し込みをする際には、カード番号だけでなく、セキュリティコードや有効期限などの入力が必要となるからです。つまり、カード番号だけでは、オンラインでのクレジットカード決済は行えないようになっているのです。

しかし、言い換えると、カード番号に加えてセキュリティコードと有効期限まで流出してしまった場合は、不正利用されてしまう可能性があります。そのため、クレジットカード決済を行う際には、対面、非対面決済に関わらず、周囲の目に気をつけるようにし、不特定多数の人が集まる場所でのオンラインショッピングは、決済情報画面を盗み見られる可能性もあるため、できるだけ控えるようにしましょう。

クレジットカードの 3D セキュアの義務化はいつからですか?

クレジットカードの不正利用防止対策の一環として、日本では 2025 年 3 月末を目処に、EC サイト運営事業者 (EC 加盟店) を対象として 3D セキュア 2.0 の導入が求められます。そのため、この 3D セキュアの義務化に伴い、クレジットカード事業に関わる各企業から EC 加盟店への積極的な呼びかけを行うことが重要です。

事業者・利用者側でクレジットマスターを防止するために

今回はクレジットマスターの攻撃手口や被害額、事業者側・利用者側への被害と対策について解説しました。

機械的に番号を自動生成することでランダムなアタックを可能にするクレジットマスターは、クレジットカードの情報を不正に取得する、悪質な攻撃手口です。クレジットマスターを企む攻撃者を寄せ付けないためには、3D セキュア に対応済みであることに加え、不正検知システムを導入するなど、自社 EC サイトのセキュリティレベルを強化させ、利用者が安心して買い物を楽しめるサイト環境を構築することがとても大切です。

また、クレジットカードの利用者側も、カードの利用に際して最新の注意を払い、身に覚えのない決済がないかどうか利用明細をこまめにチェックしたり、個人情報の保管と管理について、常日頃から十分に気をつけるようにしましょう。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Radar

Radar

Stripe ネットワークの力で不正利用を防止します。

Radar のドキュメント

Stripe Radar を使用して不正利用からビジネスを守ります。