クレジットマスターのアタックを防ぐ!不正カード入力検知機能
不正なクレジットカード情報入力を防ぎ、
安全なサイト運営をサポートします。
クレジットマスターとは、クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す行為です。
使用可能なカード番号を割り出すために、クレジットカードの登録ページに対して大量にアクセスを行い、
割り出されたカード番号が悪用される可能性があります。
不正なクレジットカード情報入力を防ぐことができる『不正カード入力検知機能』を利用することで、
大量のクレジットカード入力を検知し、
クレジットマスターのアタックからサイトやユーザーを守ることができます。
1.不正カード入力検知機能とは
概要
不正なクレジットカード情報入力を防ぐための機能です。
店舗様で不正なクレジットカード情報入力と判断する基準値と、検知した後の対応を設定します。
『会員』『IPアドレス』『サイトにアクセスした全ユーザー』のいずれかを対象に、
1時間、もしくは24時間以内にクレジットカードの決済連携失敗数と失敗率が基準値を超えていた場合に検知し、
店舗様で指定した処理または制限を自動的に行います。
基準値について
1時間以内もしくは24時間以内のいずれかで、検知対象に対して2つの条件が当てはまった場合に検知します。
| 検知対象 | 条件 |
|---|---|
| 会員 |
同一会員IDに対する、クレジットカード情報入力のエラー(決済連携失敗)回数が、 「不正カード入力検知:同一会員に対するカード入力数」の設定値を超える |
|
同一会員IDに対する、クレジットカード情報入力のエラー(決済連携失敗)率が、 80%以上になる |
|
| IPアドレス |
同一IPアドレスからの、クレジットカード情報入力のエラー(決済連携失敗)回数が、 「不正カード入力検知:同一IPアドレスからのカード入力数」の設定値を超える |
|
同一IPアドレスからの、クレジットカード情報入力のエラー(決済連携失敗)率が、 80%以上になる |
|
| サイトにアクセスした全ユーザー |
サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)回数が、 「不正カード入力検知:同一サイトに対するカード入力数」の設定値を超える |
| サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる |
検知後の対応
不正カード入力の条件に該当する操作を検知した際は、店舗様で設定可能な「不正カード入力検知時ブロック区分」を元に自動で処理および制限を行います。
設定値は、『検知のみ』『クレジットカード登録ページへのアクセス停止』『サイト停止』から選択できます。
会員単位で検知した場合を想定して、検知後の対応をご紹介します。
| NO | 不正カード入力検知時ブロック区分の設定値 | 検知後の処理 |
|---|---|---|
| 1 | 検知のみ | 「不正カード入力検知メール」に登録した宛先にメールで検知内容を送ります。 |
| 2 | クレジットカード登録ページへのアクセス停止 | 「不正カード入力検知メール」に登録した宛先にメールで検知内容を送り、検知したユーザーをクレジットカード登録ページにアクセスできないように24時間ブロックします。 |
| 3 | サイト停止 | 「不正カード入力検知メール」に登録した宛先にメールで検知内容を送り、サイトをクローズします。 |
2.本機能のメリット
- 大量にクレジットカード情報を入力するクレジットマスターからの攻撃を防ぐことができる。
- 検知したユーザーの情報(会員IDもしくはIPアドレス)を知ることができる。
- 検知対象の条件、および、検知後の対応を店舗様が選択できる。
- ユーザーのリアルタイムの操作から、検知し、選択した処理または制限を自動的に実行できる。
3.導入方法
| NO | 環境 | 担当者 | 内容 |
|---|---|---|---|
| 1 | - | お客様 | 本機能の利用希望の旨を、弊社サポート窓口までご連絡ください。 |
| 2 | デモ | お客様 |
メニュー:システム設定 > システム設定マスタ > 初期設定 以下の初期設定は任意の値で設定してください。 ・不正カード入力検知:同一会員に対するカード入力数 ・不正カード入力検知:同一IPアドレスからのカード入力数 ・不正カード入力検知:同一サイトに対するカード入力数 ・不正カード入力検知時ブロック区分 ・不正カード入力検知メールの送信先 |
| 3 | 弊社 / お客様 |
24時間以内にクレジットカードの決済連携失敗数と失敗率が基準値を超えた場合を検知するために、 弊社にてバッチを設定します。 バッチは1日に1回起動し、検知メールを送信します。 ご希望のバッチの起動時間(=検知メールの送信時間)を、弊社サポート窓口までお伝えください。 ※サーバ負荷を避けるため、AM9:00 ~ AM11:00 の時間帯は避けてご指定ください。 ※1時間以内にクレジットカードの決済連携失敗数と失敗率が基準値を超えた場合は、 リアルタイムで検知メールを送信しています。 |
|
| 4 | 弊社 | 不正カード入力検知利用フラグを適用します。 | |
| 5 | お客様 |
正常に検知できているかテストしてください。 1.1時間以内もしくは24時間以内のいずれかで、クレジットカードの決済連携失敗数と失敗率が基準値を超えた際に 不正カード入力検知メールの送信先に登録した宛先にメールが送信されていることを確認してください。 2.検知した際は不正カード入力検知時ブロック区分で設定した検知後の対応が 実施されることを確認してください。 ※テストの際は基準値である、以下の初期設定の値を引き下げていただくとテストが容易になります。 ・不正カード入力検知:同一会員に対するカード入力数 ・不正カード入力検知:同一IPアドレスからのカード入力数 ・不正カード入力検知:同一サイトに対するカード入力数 例)サイトにアクセスした全ユーザーに対する検知テストを行う場合 1時間以内もしくは24時間以内のいずれかで、以下2つの条件を満たした際に検知します。 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)回数が、 「不正カード入力検知:同一サイトに対するカード入力数」を超える ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる このため、「不正カード入力検知:同一サイトに対するカード入力数」に「3」を設定した場合は、 5回中4回、クレジットカード入力を失敗させる必要があります。 |
|
| 6 | 本番 | お客様 |
メニュー:システム設定 > システム設定マスタ > 初期設定 以下の初期設定は任意の値で設定してください。 ・不正カード入力検知:同一会員に対するカード入力数 ・不正カード入力検知:同一IPアドレスからのカード入力数 ・不正カード入力検知:同一サイトに対するカード入力数 ・不正カード入力検知時ブロック区分 ・不正カード入力検知メールの送信先 |
| 7 | 弊社 | 不正カード入力検知利用フラグを適用します。 |
4.不正カード入力検知機能 Q&A
- カード入力数に関する3種類の初期設定は、どのように使い分ければいいですか?
-
会員やIPアドレスを元に、特定のユーザーを検知する場合は、以下の機能を使います。
・不正カード入力検知:同一会員に対するカード入力数
・不正カード入力検知:同一IPアドレスからのカード入力数
会員やIPアドレスを都度変更して、何度もクレジットカードの登録を行うユーザーがいる場合、
特定するための情報がないため「不正カード入力検知:同一サイトに対するカード入力数」を使うのが有効です。
ただし、「不正カード入力検知:同一サイトに対するカード入力数」を他2つの設定値と同じ値にすると、
全ユーザーの操作が対象になるため、不正なカード入力ではない場合にも検知する条件を満たす可能性があります。
その後、アクセスした全ユーザーを検知もしくはブロックされる恐れがあるため、
他2つよりも「不正カード入力検知:同一サイトに対するカード入力数」は大きい値に設定することをおすすめします。
設定名 設定値(例) 不正カード入力検知:同一会員に対するカード入力数 20 不正カード入力検知:同一IPアドレスからのカード入力数 20 不正カード入力検知:同一サイトに対するカード入力数 80 -
検知対象である『会員』『IPアドレス』『サイトにアクセスした全ユーザー』を
それぞれ検知対象外にするにはどうしたら良いですか? -
それぞれに対応するカード入力数に関する初期設定の設定値を空欄で登録すると、検知をしません。
検知対象外としたい項目 変更する初期設定 会員 不正カード入力検知:同一会員に対するカード入力数 IPアドレス 不正カード入力検知:同一IPアドレスからのカード入力数 サイトにアクセスした全ユーザー 不正カード入力検知:同一サイトに対するカード入力数 - 同じユーザーが複数回にわたって検知対象になった場合、検知メールは複数回送信されますか?
-
1時間以内に、すでに同じ会員に対する不正クレジットカード入力を検知し検知メールが送信されていた場合、
メールは再送信されません。
同一IPアドレス、サイト全体が複数回検知対象になった場合も同様です。
1時間以内にすでに検知され、検知メールが送信されていた場合は、メールは再送信されません。
例)1時間以内にすでに会員Aからの不正クレジットカード入力を検知し、検知メールが送信されていた場合
・会員Aからの不正クレジットカード入力を検知した場合 ・・ 検知メールは送信しない
・会員Bからの不正クレジットカード入力を検知した場合・・ 検知メールを送信する
- 検知の対象期間が2種類(1時間 / 24時間)あるのはなぜですか?
-
1時間(リアルタイム検知)のみの場合、時間をかけてアタックするようなケースに対応できないため、
24時間の検知も行っています。
期間 検知するアタックの内容 1時間検知 一度に大量に不正カード入力するアタックを検知 24時間検知 少しずつ、時間をかけて不正カード入力するアタックを検知
※1時間検知には達しないほどの入力を何時間も繰り返してくる場合 -
不正カード入力検知時ブロック区分に「クレジットカード登録ページへのアクセス停止」を指定した際、
具体的にどのページが対象になりますか? -
以下がアクセス停止されるページです。
ページ名 テンプレートファイル名 / 条件 クレジットカード情報登録ページ member_credit_entry_input.xhtml - 注文情報入力ページ cart_seisan.xhtml - 決済方法変更ページ member_history_order_kessai_input.xhtml NP掛け払い利用時 定期購入商品の情報変更ページ teiki_renew.xhtml 定期販売オプション利用時 かつ
PCIDSSオプションを利用していない場合定期購入商品変更ページの
支払い方法変更ページteiki_renew$payment.xhtml 定期販売オプション と PCIDSSオプション利用時 見積詳細 / 注文情報入力ページ member_estimate_order_input.xhtml 見積管理オプション利用時 かつ
PCIDSSオプションを利用していない場合 - 検知後の対応で自動的にブロックせず、手動でブロックはできますか?
-
手動でブロックできます。
「不正カード入力検知時ブロック区分」を「検知のみ」に設定し、
初期設定「アクセス除外不正IPアドレス群」に検知されたIPアドレスを設定します。
登録したIPアドレスはサイトにアクセスできなくなります。 - 「不正カード入力検知時ブロック区分」に「クレジットカード登録ページへのアクセス停止」を設定し、
実際に発動した場合は手動で解除はできますか? -
手動で解除することはできかねます。24時間経過するまでお待ちください。
- 「不正カード入力検知時ブロック区分」に「サイト停止」を設定し、実際に発動した場合は手動で解除はできますか?
