近年、ECサイト界隈ではクレジットカードマスター攻撃が深刻化しています。
クレジットカードマスターとは、クレジットカード番号の規則性を悪用し、
他人のカード番号を割り出す犯罪行為を指す言葉です。

これは、最近始まった手口というわけでもなく、
古くはアメリカでは1989年から、日本では1999年から被害が確認されています。
この手口により、カードそのものは手元にありながらも知らないうちに
クレジットカード番号が盗まれるといった被害が相次いでいます。

近年、コンピュータの技術革新やECサイトでのクレジットカード決済が急速に普及したこともあり
こういったサイバー犯罪が改めて注目されやすくなったことも背景にあるのでしょう。

では、ECサイトでクレジットカードマスター攻撃に対処するにはどうすればよいのか
簡単にまとめてみました。


・決済代行会社が提供するセキュリティ関連サービスを確認する

　最も基本的な対策です。
　ご利用の決済代行会社に確認してみるとよいでしょう。
　代表例としては、3Dセキュアです。
　弊社担当案件でも導入事例が多数あります。

・不正アクセスや悪質なbotによる入力を防ぐ

　こちらも基本的な対策です。
　主にプログラムベースで対応します。

・WAF等で大量アクセスの海外のIPからのアクセスを遮断する

　ファイアウォールを使った定番の対策です。
　弊社担当案件でも導入事例が多数あります。

・不正検知サービスを利用する

　近年話題のAIを活用した自動判定サービスのことを指します。
　弊社担当案件でも導入事例があります。

・スロットリング

　ざっくりいえば、アクセス制限です。
　例えば、注文確認画面といった攻撃されやすい画面で
　一定時間内の大量リクエストを制限することで
　攻撃リスクを低減させようとするものです。
　弊社担当案件でも導入事例があります。

・多要素認証

　こちらは、別記事「Web界隈の認証事情とECサイトのセキュリティ」でも取り上げた内容です。
　今後ますます普及することが期待されています。

---

ちなみに、イーシーキューブ社が2023年2月28日にリリースした
EC-CUBEの最新版4.2.1では、上記のスロットリング機能を標準実装しています。
今後、多要素認証も標準実装される予定になっているため、注目が高まっています。

株式会社イーシーキューブ、クレジットマスター攻撃への対応機能を含めたセキュリティ強化機能を実装した最新版EC-CUBE4.2.1をリリース


弊社は、EC-CUBEのゴールドインテグレートパートナーです。
EC-CUBE本体の開発では、技術面やセキュリティ面で貢献させていただいておりますので、
仕組みを熟知しているのが最大の強みです。

そして、上記で取り上げたようなクレジットカード系の
セキュリティ対策の導入事例も多数あるため、ご要望に応じた最適なご提案が可能です。

また、弊社には国家資格の「情報処理安全確保支援士」も在籍しておりますので、
セキュリティ専門家の見地で最適なご提案が可能です。
ぜひお気軽にお問合せください。