カードテスティングとは、悪意のあるユーザーが、カードが有効であることを確認するために決済システムで少額の取引を実行し、盗まれたカード詳細 (例: カード番号、有効期限、CVC) の有効性を検証する手口のことです。
この種の不正利用は、検出を逃れるために正規の取引プロセスを利用します。アラートの対象になりにくいため、少額の取引を大量に処理することで知られるウェブサイトが悪意のあるユーザーの標的になることがよくあります。カードがこの初期の「テスト」段階を通過し、有効でブロックされていないと見なされると、悪意のあるユーザーにとってのそのカードの価値は飛躍的に高まります。その後、自身でそのカードを使ってより高額な購入を行ったり、カード詳細をブラックマーケットで売却したりする可能性があります。
カードの不正利用は増加の一途をたどっており、カードテスティングは最も一般的な侵入口の 1 つです。2025 年の第 1 四半期から第 3 四半期までだけで、連邦取引委員会には 50 万件以上のクレジットカードの不正利用が報告されました。これは 2024 年の同時期よりも 18 万件近く多い数字です。世界のカードの不正利用による損失は、2030 年までに 410 億 6,000 万ドルに達すると予想されています。また、これらの取引はデジタルで行われるため、どこからでも実行できるという性質があります。これにより法執行機関の取り組みが複雑になり、顧客の財務情報を保護しようとする企業や金融機関にとっての課題が拡大しています。
以下では、この種の不正利用について企業が知っておくべきことと、それに対する保護対策について説明します。
目次
- カードテスティングとは
- カードテスティングによる不正利用の仕組み
- カードテスティングによる不正利用が企業と顧客に与える影響
- カードテスティングによる不正利用攻撃の兆候
- Stripe の監視対象
- カードテスティングによる不正利用からビジネスを保護する方法
- カードテスティングによる不正利用攻撃への対応方法
- Stripe Radar でできること
カードテスティングとは
カードテスティングとは、悪意のある利用者が適切な検証コントロールを持たない支払いシステムで、カード番号、有効期限、CVC などの盗まれたカード詳細を検証しようとする行為です。支払いが行われた場合 (または特定の理由コードで拒否された場合であっても)、そのカードが本物であることがわかります。
カードテスティング不正利用の仕組み
カードテスティングによる不正利用は、比較的単純なプロセスを通じて行われます。カードテスティングによる不正利用が行われる主な方法は 2 つあります。
手動テスト: 悪意のある関係者は、カード詳細を手動で試し、拒否コードに基づいて調整します。これは小規模で影響は小さいですが、それでもシグナルとなります。
列挙: より洗練された悪意のある関係者は、自動化されたスクリプトやボットを使用して、多くのクレジットカードを一度に特定します。これは特に危険です。
悪意のある関係者は、盗まれたカード番号を入手し、それが機能するかどうかをテストしてから使用します。これがどのように展開するかについての詳細は次のとおりです。
悪意のある関係者が盗まれたカード番号を入手する: 悪意のある関係者は、データ侵害、フィッシング詐欺、またはダークウェブの市場から盗まれたクレジットカード番号を入手します。
少額のテスト取引を実行する: テストフェーズでは、ウェブサイトでの取引を少額で行います。悪意のある関係者は、不正利用検出がそれほど厳格ではないマイクロトランザクションで知られるプラットフォーム (デジタルサービスや慈善寄付ページなど) を標的にすることがよくあります。
どのカードが有効かを確認する: 悪意のある関係者にとっての鍵は、クレジットカードが有効であり、まだ盗難として報告されていないことを確認することです。承認された取引はそれを示しています。請求先住所などの追加情報が厳格に確認されないウェブサイトでは、このプロセスが容易になります。
確認されたカードを使用または販売する: カードが確認されると、闇市場での価値が高まります。悪意のある関係者は、より高額な不正購入に自信を持ってカードを使用したり、カード詳細を他人に販売したりできるようになります。
カードテスティングは通常、より広範な不正利用攻撃の先行指標ですが、実際の不正なアクティビティは数カ月後まで発生しないか、または検出されない場合があり、多くの場合、まったく別の加盟店で発生します。このため、追跡が特に困難になります。
カードテスティング不正利用が企業や顧客に与える影響
カードテスティングは、ビジネスにさまざまな課題をもたらします。被害が生じやすいのは次のような点です。
企業への影響
経済的な損失: 顧客が不正な請求に対し不審請求を申し立てると、ビジネスはチャージバックのコストを負担することになります。
運用コストの増加: 不正利用検出システムの維持や不正利用の事後処理には追加の費用がかかります。
風評被害: インシデントが繰り返されると顧客の信頼が低下し、売上の減少につながる可能性があります。
カード発行会社やプロセッサーによる監視の強化: 不正利用のレベルが高いと、クレジットカード発行会社やプロセッサーによる監視の強化や制裁、処理手数料の引き上げにつながる可能性があり、極端な場合にはクレジットカード決済の処理ができなくなることもあります。
顧客への影響
経済的な不便さ: カードテスティングによる不正利用の被害者は、不審請求の申し立てや新しいカードの発行などの手間を強いられます。通常、顧客は不正な請求に対する責任を負いませんが、これらの問題の解決には時間がかかる場合があります。
プライバシーに関する懸念: 自分のカード詳細が盗まれ、悪用されたと認識することで、プライバシーやセキュリティに対する不安が生じる可能性があります。
より大きな経済的被害の可能性: カードテスティングの金額は少額ですが、顧客の信用スコアに影響を及ぼす可能性のある、より大規模な不正取引の前兆となる場合があります。カード詳細が有効であることが確認されると、より大規模な不正利用に悪用されたり、闇市場で販売されたりする可能性があります。
カードテスティングによる不正利用攻撃の兆候
カードテスティング攻撃に気付いて対応することは、ビジネスで自社と利用者を保護するうえで重要です。兆候を認識して、効果的なモニタリングシステムを導入することは、このプロセスにおける重要なステップです。ここでは、ビジネスでこの種の攻撃による影響を受けた可能性があることを示す兆候をいくつか紹介します。
少額の取引の繰り返し: 少額の取引が (多くの場合立て続けに) 繰り返される場合は、カードテスティングの強力な指標となります。これらは通常、検出を回避できるほど少額です。Stripe では、このような確認のための請求を監視しています。
複数のカードの使用: 同じ IP アドレスまたはデバイスから異なるカード番号を複数回使用しようとする試みは危険信号です。これは、誰かがカード番号のバッチをテストしていることを示唆しています。
失敗した取引: 悪意のある関係者は無効なカード番号や有効期限切れカードの番号を使用することが多いため、拒否された取引の数が多いこともカードテスティングの兆候となります。Stripe は、過去に Stripe の利用履歴がない加盟店での高い拒否率を監視しています。また、これらの拒否がより一般的になる月次の請求サイクルの終わり以外に発生する、誤った有効期限や認識されないプライマリアカウント番号 (PAN) による拒否も監視しています。これらの要因は、悪意のある関係者が組み合わせを順に試していることを示唆しています。
一貫性のない請求先情報: 提供された請求先情報がカード詳細と一致しない取引は、不正なアクティビティを示している可能性があります。
早期発見は、何に注意すべきかを知り、兆候が現れたときに迅速に行動できるかどうかにかかっています。
Stripe が監視していること
Stripe はさまざまなシグナルを使用して、カードテスティングの発生を特定します。以下に、Stripe が監視している重要な指標のいくつかを示します。
拒否の急増: カードを検証している悪意のある関係者は、誤った情報を頻繁に入力するため、オーソリの拒否の増加につながります。通常、特定の拒否理由は、カードテスティング攻撃を示しています。
- カード記録がない: カード詳細を特定しようとする際、悪意のある関係者は、どのカード会員にも割り当てられていないものの、銀行識別番号 (BIN) にリンクされており、システムで利用可能なカード詳細を入力する可能性があります。カードがユーザーにリンクされていないため、ユーザーはこの情報を確認できません。これらのカードでの拒否の発生は、カードテスティングが進行中であることを示唆している可能性があります。
- 誤った有効期限: 多くの場合、悪意のある関係者は有効期限や CVC などの正確な詳細を把握していないため、さまざまな組み合わせを試します。これらの拒否は、悪意のある関係者が有効な PAN を特定しており、拒否理由に基づいてこれを把握していることを示しています。
- カード記録がない: カード詳細を特定しようとする際、悪意のある関係者は、どのカード会員にも割り当てられていないものの、銀行識別番号 (BIN) にリンクされており、システムで利用可能なカード詳細を入力する可能性があります。カードがユーザーにリンクされていないため、ユーザーはこの情報を確認できません。これらのカードでの拒否の発生は、カードテスティングが進行中であることを示唆している可能性があります。
アカウント確認の急増: アカウント確認は、取引に使用されているクレジットカードが有効であることをビジネスが確認するプロセスです。このプロセスでは、カードが有効であり、利用可能な残高があることを確認するために、多くの場合一時的に、少額の「確認のための請求」が行われます。アカウント確認の突然の急増は、カードテスティングを示している可能性があります。
新しいアクワイアリング加盟店でのオーソリと拒否: Stripe では過去に見られなかったアクワイアリング加盟店でのアクティビティを監視しています。有効期限の不一致やカードが存在しないことによる大量の拒否が発生している新しい加盟店を発見した場合、優良なビジネスが悪用されたり、悪意のあるビジネスが不正利用を働いたりするのを防ぐための対策を講じます。
カードテスティングによる不正利用からビジネスを守る方法
カードテスティング攻撃からビジネスを保護するには、効果的なセキュリティ対策、高度なツール、支払い処理のベストプラクティスを組み合わせ、カードテスティングの兆候を認識した際にどのように対応すべきかをスタッフに周知する必要があります。これらの戦略は、正当な顧客にスムーズな体験を提供しつつ、不正なアクティビティのリスクを特定して軽減するように設計されています。
効果的なセキュリティ対策とツール
住所確認システム (AVS): AVS は、ユーザーが提供した請求先住所をクレジットカード会社に登録されている住所と比較します。不一致がある場合は、不正利用の可能性が疑われます。
CVV の確認: 取引に CVV を要求することで、購入者が物理的にカードを所持していることを確認しやすくなり、オンラインで入手したカード番号が不正利用されるリスクを軽減できます。
取引制限の設定: 複数の不正利用の試みを防ぐため、特定の時間内に 1 枚のカードで許可される取引回数や合計金額の制限を設定します。ユーザーとのやり取りが想定されない国での取引や、デジタルグッズや広告プラットフォームなど、ユーザーの利用が想定されないカテゴリー内の取引をブロックします。カードが不正アクセスされた場合は、Cards API または Tokens API を使用して、ただちにキャンセルまたは凍結します。
高度な不正利用の検出ツールの導入: 機械学習 (ML) や人工知能を利用して取引パターンを分析し、カードテスティングを示す異常にフラグを立てるツールに投資します。
多要素認証 (MFA): 疑わしいと思われる取引に対して、追加の認証レイヤーを導入することで、不正な利用者を抑止できます。
決済処理のベストプラクティス
拒否と少額の承認の急増を監視する: 月内または請求サイクルの予期しないタイミングで、誤った有効期限や CVC によって発生する拒否に注意してください。サブスクリプションに関連付けられたカードの場合、月末にこの種の拒否が増加するのは一般的ですが、それ以外のタイミングで発生した場合は注意が必要です。多くの場合、詐欺師は拒否の急増に続いて、少額の取引の承認を増加させます。
支出パターンの変化を監視する: 高額な購入、外国での突然の支出、同一の加盟店での数秒以内の複数回の購入などは、調査する価値があります。
カードテスティングによる不正利用攻撃への対応方法
カードテスティングによる不正利用が検出された場合は、迅速に対応してください。
カードテスティングによる不正利用が検知された際に踏むべき手順
不審な取引をただちに凍結する: カードテスティングが疑われる場合は、直ちに該当する取引を確認します。疑われる不正利用に関連して進行中の取引をすべて凍結し、これ以上の不正なアクティビティを防ぎます。
境界線上にある取引には強化された本人確認を適用する: 疑わしいものの不正利用とは断定できない取引がある場合は、強化された本人確認プロセスを導入します。これには、顧客に連絡して確認を取ることや、追加の認証を要求することなどが含まれます。
攻撃の範囲を分析する: 取引パターンを徹底的に分析し、攻撃の範囲と手法を把握します。これにより、攻撃元やシステムに潜む弱点を特定できます。
不正利用の検出パラメーターを厳格化する: 分析に基づいて不正利用の検出パラメーターを調整し、インシデント中に見られたようなアクティビティに対する感度を高めます。これには、取引制限の厳格化やアラートトリガーの変更などが含まれます。
影響を受けたビジネスに対する手続きや復旧の措置の報告
金融パートナーに通知する: 銀行やカードプロセッサーなどの金融パートナーに、直ちにインシデントについて知らせます。パートナー側で不審なアクティビティがさらに発生しないか監視し、必要なアクションを実行します。
大規模なインシデントは法執行機関に報告する: 大規模な不正利用の場合は、法執行機関への報告が推奨されます。当局が捜査を開始し、犯人逮捕に向けて動くことができます。
必要に応じてサイバーセキュリティの専門家を招き入れる: 攻撃が巧妙な場合やシステムの脆弱性が懸念される場合は、サイバーセキュリティの専門家と連携することで、攻撃の発生原因を特定し、インシデントを防ぐことができます。
影響を受けた顧客と迅速にコミュニケーションを取る: 影響を受けた顧客に対し、透明性をもって情報を伝達します。インシデントについて知らせ、信用情報の監視やカードの交換など、取るべき手順を助言します。セキュリティ対策に関する最新情報を伝え、自身の取引に関連する不審なアクティビティがあれば報告するよう促します。
インシデント後に防御を徹底的に見直し、強化する: インシデントの発生後、セキュリティ対策の包括的な見直しを行います。防御の強化には、ソフトウェアの更新、プロトコルの改訂、新しいセキュリティプラクティスに関するスタッフのトレーニングなどが含まれる場合があります。
発生した事象を記録し、適応する: インシデントを学習の機会として活用します。何が起きたか、対応として何が効果的だったか、どこに改善が必要かを分析します。脅威に備えるため、分析結果に合わせて戦略を適応させます。
詳細を表示して、Stripe がカードテスティングによる不正利用からビジネスを保護する仕組みをご確認ください。
Stripe Radar でできること
Stripe Radar は、Stripe のグローバルネットワークのデータで学習した AI モデルを使用して不正利用を検知・防止するツールです。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。
Stripe は、その他にも、Radar for Teams を提供しています。自社ビジネス特有の不正利用シナリオに対応するカスタムルールを追加でき、高度な不正利用分析情報にアクセスできます。
Radar は以下のことに役立ちます。
不正利用による損失を防ぐ: Stripe は、年間 1 兆ドル以上の決済を処理しています。この規模により、Radar は比類のない能力で不正利用の検出と防止に貢献し、コストの削減を実現します。
収入の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどをもとに学習しています。これにより、Radar はリスクの高い取引を特定し、誤検知を減らして、収入向上に貢献します。
業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。