category-オンラインショップ通販担当

ECショップ運営者がクレジットマスター（クレカ不正利用）で損害を受けた件と被害に遭わないための対策

2021年11月12日

2021年11月10日～11日にかけて、ハーブティー専門店Design with Tea Salonのオンラインショップにおいて大規模なクレジットカードの不正利用がありました。

今回の不正被害はまだ私たちの中で処理しきれておらず、途中経過となっている部分もありますが、カートASPに確認をしたところ、同様の被害に遭っているのは私たちだけではないという回答を貰っています。

今回の件は、たとえば私たちのパソコンがハッキングされて発生した。というような話ではなく、独自でECサイトを持つ多くの方が標的の対象となり、被害に遭う可能性があります。私たち以外にも第2、第3の被害者が現れることになりますので注意喚起の意味も込めてこれまでの経緯とやっておくべき対策についてまとめておきたいと思います。

この記事の目的はこのような被害を他の多くのECサイト運営者に広げないことです。
また、犯行を通じてクレジットカード番号が不正に使われてしまうという犯罪にもつながってしまいますので、多くの方にこうした問題が起きていることを知っていただき、対策をしていただきたいと思います。

今は個人でもECサイトを手軽に作れる時代になりました。そういう時代だからこそ、こうしたリスクが存在することを知っておく必要があります。

金融決済に詳しいスタッフと一緒にまとめた内容ですが、他にこういう対策ができるといったような情報があればぜひともお寄せくださいませ。

問題の経緯と流れ

異変に気付いたのは朝でした。当社のECカート（ネットショップの管理システム）にログインすると同姓同名の「山田太郎※」なる人物から数百件のクレジットカードの注文があったことでした。ただ、その時はイタズラ注文だろうか、面倒だなぁ程度の認識でしかありませんでした。それが大問題とはつゆ知らず……。

※本当に「山田太郎」という名前で注文していました。断っておきますが、実在する山田太郎様を批判する者ではないことをご承知おきください。犯行グループがこの名前を使ったというだけです。

その時点でも断続的に注文が入っており、どうしていいのか分からずにいました。
非会員購入をされていたので、会員以外の方のクレジットカードの注文を止めたことで注文は止まりました。

そうこうしているとカートASPを通じて契約しているクレジットカード決済事業者から「大量トランザクション検知のご連絡」という連絡が来ました。不正の疑いのある取引が大量に寄せられているというものでした。

あー、きっと「山田太郎」のことだろうな、数百も注文が入っていたもんなぁと思ってログインしたところ、トランザクション数に万単位の記録がありました。クレジットカードの決済サービスを利用するときは「トランザクション処理料」トランザクション1件につき6円（税別）の手数料がかかるようになっています。

これが万単位となると、私たちの売り上げ規模からすれば途方もない金額になります。確認も行いましたが不正な注文だろうとなんだろうとトランザクション処理料は発生するというお話でした。この時点で数十万の費用発生が必要な計算になります。

さらに追い打ちがかかりました。会員のみ決済OKにしていたクレジットカード注文でしたが、「山田太郎」はアカウントを自動取得した上で再度のクレジットカードの不正注文を行っていたのです。それに気づくのが遅れ、結果としてさらに数万件の不正注文を許してしまうという羽目になりました。

この時点でクレジットカード決済を完全にストップする判断に至りました。当然ですが追加分も、トランザクションは発生しているのでこちらも費用負担が生じることになるそうです。

クレジットマスターという不正行為

この「山田太郎」の目的はどうやら「クレジットマスター」という手口のようです。

※クレジットマスター（wikipedia）

クレジットマスター（英語: Credit Master）とは、クレジットカードの番号の規則性を悪用し、クレジットカード番号にある計算を加えて、他人のカード番号を割り出す手口である。 番号の割り当てルールを利用していることから防止策は無い

クレジットカード番号を取得するためにランダムに攻撃をしてカード決済が通ればそのクレジットカード番号が「使える番号」だということを確認しているようです。そのため、数万という単位で不正な注文を行い確かめているわけです。

私たちの店舗はこのクレジットマスターの調査用として標的になり、不正注文を繰り返し行っていたわけです。その副産物として私どものお店には数十万円というトランザクション費用が発生することになったわけです。

私たちも被害者ですが、こうやって確認されて「有効」とされたカード番号はおそらく別のところで不正利用するつもりなのでしょうから、こうした確認をさせないことがとても重要になりますね。

中小零細ＥＣ事業者が知っておきたいこの問題への対策

この問題を解決できないか社内でも検討しました。

独自でECショップをやっている方は今一度、これらについて対策ができているのか？対策を取ることができるのかを確認することを強くお勧めします。

ショッピングカートが不正注文対策を行っているか確認する

まずは、ショッピングカート（決済機能）の方に対策があるかを確認しましょう。

私が利用しているカートは国内のショッピングカートを提供する会社の中でも大手ですが、確認したところ、そうした対策は取られていないようでした（そりゃ被害に遭ったんだしね……）。

ECサイトを運営されている方は現在ご利用中のショッピングカートASPにクレジットマスターに対する対策が取られているかの確認を取るようにしてください。

なお、当店が利用しているショップでは初期費用30万円＋月額10万円（税別）で不正注文を検知してブロックできるサービスが利用できるそうです。大規模店ならいざ知らず、小規模ECサイトだと厳しい金額ですね。

決済事業者の手数料体系を確認しトランザクション費用が発生しない事業者を選ぶ

EC事業者の立場で言えば、不正注文の検知が無理なら不正注文をされたとしても費用が発生しない決済事業者を使うという解決策があります。クレジットマスター自体を防ぐことはできませんが、トランザクション費用がEC事業者負担でない決済事業者ならそのリスクはEC事業者側には生じません。

トランザクション費用がかかる決済事業者の場合、今回のよう大量の不正注文が寄せられると1件あたり〇円という手数料を当然に請求されてしまいます。こうした事業者を利用する場合は、そうした大量の不正注文が寄せられた時の対応策が用意されているのかどうかをしっかりと確認しておきましょう。

アカウント決済型の決済サービスを導入する

AmazonPayや楽天ペイ、PayPalなどのお客様がアカウントにログインをして決済するタイプですね。こちらのタイプはそれぞれのアカウントに登録してある決済手段が使われるので安心です。

当店がクレジット決済を一時的に止めてもカード決済が継続できたのはAmazonPayのおかげです。これがなかったら完全にショップが沈黙してしまったかもしれません。今の国内だとやはりAmazonPayが強いと考えます。

ただ、アカウント決済サービスがあればクレジット決済が不要かといわれると必要だと思います。

それ以外でできる対策

抜本的な解決にはなりませんが以下のような対策があると思います。

• クレカの注文を一部の会員のみにする
  • 当社の場合、機械的に会員登録してきたので確実ではないです……。
• 注文時に機械的なアクセスを遮断、手作業が必要な仕組みを入れる（システム的に可能なら）

個人や小規模でECサイトを始めるときはこのリスクを知っておきたい

正直私たちにキャッシュレス業界の内側でどのような処理がされれており、どのような問題が発生しているのかを知ることはできません。ただ、今回の被害を受けまして、こうした問題は決して他人事ではなくキャッシュレスを扱っている以上は被害に遭う可能性があるということを理解しました。

冒頭にも書きましたが、インターネットでのECサイトは10年前と比べて格段に作りやすくなりました。

個人でも簡単にECサイトを作ることができ、場合によっては1時間もかけずにネットショップを作ることができてしまう時代です。だからこそ、こうしたリスクを知り対策を立てることがより重要になると思います。

小規模でEC事業をやる方は、ここで挙げた対策を実施できないというケースもあるかもしれません。実際、カートASPのレンタル料金や決済の基本料金もかかるのに、さらに＋αで予防のためだけにお金を出すのは厳しいという事業者も少なくないでしょう。

個人的には、こうした被害が多発しているというのであれば、対策を標準（デフォルト）の機能としてネットショップのサービスを提供する事業者様や決済サービスを提供する事業者様が対策していただくのが一番だと思いますし、むしろ必須にしなければならないと考えております。

以上です、この記事が多くの方の参考になれば幸いです。