サポートサイト

2020/04/02 重要

不正アクセスによる大量の会員登録について

一部の店舗様において、海外のIPアドレスではなく
日本のIPアドレスから、大量に会員登録される事例が発生いたしました。

弊社にてアクセスをブロックする条件を満たした場合は、システム全体でブロック致しますが、
至急で店舗様でのブロックをご希望の場合や、大量会員登録の防止に活かせる機能についてご紹介いたします。

※すでに登録されてしまった、明らかに不要、不審と判断できる会員につきまして
　一度削除済、もしくは、退会済にしていただければと存じますので、末尾に、一括での削除 or 退会方法を記載しております。　

　■弊社にてアクセスをブロックする条件
　　・海外の同一IPアドレスから、会員登録完了ページへの大量アクセスがあった場合
　　・同一IPアドレスから、無関係の複数店舗に対して、会員登録完了ページへのアクセスが短時間に複数回あった場合
　　・登録された内容が、スパムに利用されている情報であることが確認できた場合（データやログを確認して都度判断します。）

　■大量会員登録の防止策
　　1. 【無償オプション】会員登録確認ページにおけるreCAPTCHA機能
　　2. 【標準機能】国外IPアドレスからのアクセス自体または登録処理をブロックする機能
　　3. 【標準機能】同一IPからの大量アクセスを制限する機能
　　4. 【標準機能】データ大量登録の検知と制限を可能とする機能
　　5. 【無償オプション】大量のログイン試行を検知し、ログイン停止やサイトをメンテナンス中にする機能
　　6. 【標準機能】新規会員登録、および、非ログインでの受注登録時のメール認証機能

　■不正アクセス元を特定できている場合
　　7. 【標準機能】不審な会員登録で用いているメールドメインが特定出来ている場合
　　8. 【標準機能】不正アクセス元のIPアドレス or ユーザーエージェントが特定出来ている場合

　■その他
　　9.　スパムメール対策【標準機能】特定の文字列やURLを含む自動配信メールは停止する機能
　　10.　不正アクセス元の確認方法
　　11.　明らかに不要、不審な会員の削除方法について

1. 会員登録確認ページにおけるreCAPTCHA機能

会員登録確認ページにて、登録者がコンピューターでないことを確認するための本人認証を必須にする
「会員登録用reCAPTCHA設定オプション」（無償）をご用意しております。

　※オプション機能お申込みにあたっては、弊社にて事前影響調査を行いますのでサポート窓口までご連絡ください。
　　事前影響調査の結果、導入にあたり追加カスタマイズが必要な店舗様につきましては、都度お見積りでの対応となります。

サポートページはこちら

2. 国外IPアドレスからのアクセス自体または登録処理をブロックする機能

国外IPアドレスの場合、ユーザーウェブへのアクセス自体または登録処理をブロックする初期設定がございます。

　・国外IPアクセス許可フラグ
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 国外IPアクセス許可フラグ

　■対象の登録処理
　　新規会員登録・会員情報変更・注文登録・お問い合わせの投稿・お友達にすすめるメールの送信・プレゼント応募（懸賞管理オプション）

　※一部アクセスを許可したい国外IPアドレスがある場合は、初期設定「国外IPアクセス許可リスト」にて複数指定可能です。

「国外IPアクセス許可フラグ」

「国外IPアクセス許可リスト」

3. 同一IPからの大量アクセスを制限する機能

不正アクセス元のIPアドレスやユーザーエージェントが未特定の場合
特集ページに纏めておりますのでお目通しいただき、導入ご希望の場合は「導入方法」に記載の
下記3点についてサポート窓口までご連絡くださいませ。
　　　1）同一IPアドレスからの一定期間のアクセス数
　　　2）アクセス制限の適用時間
　　　3）制限機能の適用日

特集ページはこちら　【アクセス制限機能】

　1）2）の設定値につきまして
　　各店舗様のポリシーによってまいりますので一般的な値というものがなく、店舗様で値を決めていただいております。

　　　人間ができるアクセスよりも少し多いアクセス数（例：1分間に30PV）にして、20分程ですぐに開放する方法もあれば
　　　確実に人間では不可能なアクセス数（例：1分間に200PV）にして、確実に人間ではないため1200分と長時間ブロックする方法もございます。

4. データ大量登録の検知と制限を可能とする機能

ユーザーウェブ上で、データ登録（会員情報登録やクレジットカード登録など）または会員ログインを行う機能において
同一会員、もしくは同一IPアドレスから、一定時間内にしきい値を超える登録処理（成功/失敗）またはログイン処理（失敗）が
実行された場合に、店舗管理者に対しての検知メール配信と、該当ユーザーからのアクセスを制限する機能がございます。

サポートページに、しきい値と処理内容を掲載しておりますのでご確認のうえ
ご利用を希望される際は、サポート窓口までご連絡くださいませ。

サポートページはこちら

5. 大量のログイン試行を検知し、ログイン停止やサイトをメンテナンス中にする機能

「一定時間内に同一のIPアドレスからいくつのログインIDでログイン試行されたら」、また、
「一定時間内にいくつのIPアドレスから同一のIDでログイン試行されたら」といった、

不正ログインと判断する条件を登録し、条件に該当するログインを検知した際に、
自動で全会員のログインを停止したり、サイトをメンテナンス中に切り替える機能がございます。

サポートページはこちら

6. 新規会員登録、および、非ログインでの受注登録時のメール認証機能

ユーザーウェブでの新規会員登録時、および、非ログインでの受注登録時に
メールアドレス確認画面(mail_validate.xhtml)で入力されたメールアドレスへメールを配信し
そのメールに記載された確認用URLへアクセスした場合のみ、会員登録や受注登録手続きを継続することができる初期設定です。

※ご留意事項※
　・新規会員登録時のみに適用することは出来かねます。
　・配信されたメールに記載されたURLの有効時間は、ショップ管理ツールのセッションタイムアウトに準拠します。

ご利用を希望される際は、店舗様に公開していない初期設定のためサポート窓口までご連絡くださいませ。

サポートページはこちら

7. 不審な会員登録で用いているメールドメインが特定出来ている場合

初期設定で対象のメールドメインをブロックください。
　※「＠」は含まず、ドメイン名のみを指定してください。（例：test.jp）
　※ワイルドカード（あいまい検索）｢*｣を使用できます。使用例は、サポートページをご覧ください。

　・会員登録無効メールドメイン設定
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 会員登録無効メールドメイン設定

サポートページはこちら

8. 不正アクセス元のIPアドレス or ユーザーエージェントが特定出来ている場合

初期設定で対象のIPアドレス、もしくは、ユーザーエージェントをブロックください。
　・IPアドレス指定による制限
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > アクセス除外不正IPアドレス群

　・ユーザーエージェント指定による制限
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > アクセス除外UserAgent群

9. スパムメール対策：特定の文字列やURLを含む自動配信メールは停止する機能

特定の文字列が自動配信メールの本文に存在する場合、自動配信しないよう制御する下記2つの初期設定がございます。

　・制御するかどうかを指定
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 自動配信メール使用不可文字列チェックフラグ

　・対象の文字列を指定
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 自動配信メール使用不可文字列リスト

「自動配信メール使用不可文字列チェックフラグ」

「自動配信メール使用不可文字列リスト」

「://」を含む文字列が自動配信メールの本文に存在する場合、それをURLとして判断し、自動配信しないよう制御する下記2つの初期設定がございます。

　・制御するかどうかを指定
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 自動配信メールURLチェックフラグ

　・チェック対象外とするURLを指定
　　ショップ管理ツール > システム設定 > システム設定マスタ > 初期設定 > 自動配信メールURLチェック除外リスト

「自動配信メールURLチェックフラグ」

「自動配信メールURLチェック除外リスト」

　※スパムを目的とした大量の会員登録などにおいて、特定の文字列やURLが使用されていた場合にご活用いただくと、以下の対策に繋がります。
　　　・メール配信遅延を防ぐ
　　　・スパムの踏み台になることを防ぐ

10. 不正アクセス元の確認方法

【1】不正アクセスの発生日・時間帯を特定
　　メニュー：ショップ管理ツール > データ解析 > データ解析 > アクセスレポート

　　「解析項目：期間別アクセス・訪問者数（日ごと）」として、一定期間を表示し
　　「ゲストアクセス」欄のアクセス数が異常に高い値の日を特定。

　　続いて、「解析項目：期間別アクセス・訪問者数（時間ごと）」として
　　アクセスが集中している時間帯を特定。

【2】不正アクセス発生時間帯のアクセスデータを出力
　　メニュー：ショップ管理ツール > システム設定 > アクセスログ > ユーザーウェブアクセスログ表示

　　【1】で特定した発生日・時間帯で、日時指定し「表示」を押下。
　　画面に結果表示後、「ダウンロード」よりCSVデータを出力。（画面に表示される項目より詳細なデータを確認可能）
　　※データが重い場合は、ダウンロードに時間を要します。

【3】不正アクセスをしているIPアドレスを特定
　　CSVデータにて、下記項目に注視し、異常なアクセスをしているIPアドレスを特定。
　　　・端末機種情報
　　　・アクセス元IPアドレス
　　　・アクセスログアクセスブラウザ区分

　　IPアドレスを特定する方法としては
　　Excelの機能で集計し、順位が高いものみて異常なアクセスをしているIPアドレスをご確認ください。
　　※明らかに異常なアクセスの場合、目検でも、全項目が同値の行が連続するため分かることもございます。

　　※アクセスログアクセスブラウザ区分：0_0_0　は、システムからのアクセスであるため
　　　事前に絞り込みいただくのも手です。

　　※どの国からのアクセスか、については
　　　外部サイト（https://ja.asuka.io/whois）などで、IPアドレスを検索いただければと存じます。

11. 明らかに不要、不審な会員の削除方法について

会員の削除
　対象会員に「削除日」を設定することで削除済みとされ、会員データ検索／一覧に表示されなくなります。
　会員一括アップロードより、会員情報を更新する形でご対応ください。

　メニュー：ショップ管理ツール > 会員・お問い合わせ管理 > 会員管理 > 会員一括アップロード
　対象の会員IDをダウンロードし、「会員ID」と「削除日」の2カラムのCSVを作成いただきアップロードください。

会員の退会
　該当会員に「退会日」を設定することで退会済みとされ、会員データ検索／一覧に表示されなくなります。
　会員一括アップロードより、会員情報を更新する形でご対応下さい。

　メニュー：ショップ管理ツール > 会員・お問い合わせ管理 > 会員管理 > 会員一括アップロード
　対象の会員IDをダウンロードし、「会員ID」と「退会日」の2カラムのCSVを作成いただきアップロードください。

　「削除」と「退会扱い」について
　　　・「退会扱い」
　　　　エンドユーザーはログインができなくなりますが、店舗管理者はショップ管理ツールにて復帰させることができます。
　　　・「削除」
　　　　エンドユーザーの情報を削除し、店舗管理者もショップ管理ツール上から見ることはできなくなり、復帰させることはできなくなります。