JavaScript を有効にしてご利用下さい.
EC-CUBE
®
製品
自社サーバーに無料インストール
ダウンロードして使う
すぐに始めてメンテナンスフリー
クラウドで使う
※新規受付停止中
開発者向けシステム仕様など
開発情報
機能
EC-CUBEの魅力をご紹介
選ばれる理由
充実した基本機能
機能一覧
経営資源を一元管理
基幹システム連携
操作感や各機能をお試しください
デモサイト
決済サービス
導入事例
ご利用者の声
導入事例インタビュー
EC-CUBEの導入事例をご紹介します
導入事例一覧
各種ご相談
サポート
サポート窓口をご案内
サポート
EC-CUBEに関する質問まとめ
よくあるご質問
セキュリティ
安心・安全にご利用頂くために
セキュリティ対策
脆弱性情報をご確認頂けます
脆弱性リスト
ニュース
EC-CUBEのニュース・リリース
ニュース
さまざまなセミナーを随時開催中
イベントセミナー情報
パートナーについて
EC-CUBEでビジネス展開
パートナー制度ご紹介
ご紹介資料や技術情報など
お役立ち資料
パートナー専用ページへ
ログイン
お問い合わせ
ストア
ニュース
カード決済の不正な大量アタック(クレジットマスター)の増加と対策について(2023/01/13)
現在、EC-CUBEを含め国内のネットショップで、クレジットマスター攻撃が急激に増加しています。
購入フローなど通常の機能を利用するこの攻撃は、プラットフォームや利用システムを問わず発生することが確認されています。
また、この大量アタックは普段の店舗の売上規模、アクセス件数などに関わらず発生し、発生した場合、カード情報の照会を行ったトランザクション処理料として、数十万〜数百万の費用が加盟店に請求されることになります。
ネットショップの通常の機能を悪用するものであるため、完全な遮断は難しいですが、決済代行会社のオプションを利用するなど、加盟店、運営者自らの対策によりリスク軽減が可能です。下記ご確認の上、今一度対策のご検討をよろしくお願いいたします
■クレジットマスター攻撃とは:
ネットショップで、カード情報に入力ミスがあると、エラーが表示されます。
この仕組みを悪用し、「与信OK」になるまでカード番号・有効期限・セキュリティコードを入力することで、有効なカード情報を特定する攻撃を
「クレジットマスター」
といいます。
■対策方法例:
【1】決済代行会社が提供するオプションのご契約
ご契約いただいている決済代行サービスのオプション等をご確認ください。
不正対策オプションや大量アタック遮断サービスなどのオプションがある場合がございます。
詳細については、各サービス提供会社様にお問い合わせください。
※EC-CUBE公式決済のご案内
EC-CUBEの公式決済「EC-CUBEペイメント」では、
不正検知(リトライ回数制限)対応機能
が搭載されており、また不正対策オプションや大量アタック遮断サービスなど対策オプションも豊富に取り揃えております。
EC-CUBEペイメントのご紹介ページ
https://www.ec-cube.net/product/payment/
【2】reCAPTCHAプラグインの利用
reCAPTCHAという、フォーム入力者を判別し、不正アクセスや悪質なbotによる入力を防ぐ機能を利用した対策方法です。
オーナーズストアでもreCAPTCHAのプラグインが複数提供されていますので、ご利用をご検討ください。
https://www.ec-cube.net/products/list.php?category_id=&keywords=reCAPTCHA
【3】WAF等で大量アクセスの検知や海外のIPからのアクセスを遮断する
IPアドレスだけでなく、アカウント単位や該当ページへの短期間での大量アクセスの検知を行い必要に応じてアクセスを制限したり、国内からの購入のみであれば海外からのアクセスを制限することも可能です。
EC-CUBEと協業。クラウド型WAF『攻撃遮断くん』のご紹介ページ
https://www.ec-cube.net/products/detail.php?product_id=2703
【4】不正検知サービスの利用
クレジットマスター攻撃に対応した機能を搭載している不正検知サービスを利用することでサービスのポリシーにそって大量アクセスを遮断するなどの対応が可能です。
不正検知サービスのご紹介ページ
https://www.ec-cube.net/info/security/efforts.php#index_tool
■最新版EC-CUBEのクレジットマスター対策:
2023年2月末リリース予定、EC-CUBEの最新版「EC-CUBE 4.2.1」では、クレジットマスターへの抑止として、
スロットリング機能
を追加する計画です。これにより、一定時間内のリクエスト制限を設けることができます。
※現在はログイン機能の試行回数制限機能が搭載
現在開発中の「EC-CUBE 4.2.1」は、2023年1月19日に実施した開発進捗説明会で、EC-CUBE 4.2.1 で提供されるセキュリティ関連の機能強化についてデモを交えてご紹介しました。特にクレジットカード決済の入口対策として新たに強力セキュリティ強化機能をご紹介しております。その様子は以下のYoutubeで閲覧できますので、ぜひご覧ください。
EC-CUBE4.2.1 開発進捗説明会
https://youtu.be/CDsnf3JXx-M
購入フローなど通常の機能を利用するこの攻撃は、プラットフォームや利用システムを問わず発生することが確認されています。
また、この大量アタックは普段の店舗の売上規模、アクセス件数などに関わらず発生し、発生した場合、カード情報の照会を行ったトランザクション処理料として、数十万〜数百万の費用が加盟店に請求されることになります。
ネットショップの通常の機能を悪用するものであるため、完全な遮断は難しいですが、決済代行会社のオプションを利用するなど、加盟店、運営者自らの対策によりリスク軽減が可能です。下記ご確認の上、今一度対策のご検討をよろしくお願いいたします
■クレジットマスター攻撃とは:
ネットショップで、カード情報に入力ミスがあると、エラーが表示されます。
この仕組みを悪用し、「与信OK」になるまでカード番号・有効期限・セキュリティコードを入力することで、有効なカード情報を特定する攻撃を「クレジットマスター」といいます。
■対策方法例:
【1】決済代行会社が提供するオプションのご契約
ご契約いただいている決済代行サービスのオプション等をご確認ください。
不正対策オプションや大量アタック遮断サービスなどのオプションがある場合がございます。
詳細については、各サービス提供会社様にお問い合わせください。
※EC-CUBE公式決済のご案内
EC-CUBEの公式決済「EC-CUBEペイメント」では、不正検知(リトライ回数制限)対応機能が搭載されており、また不正対策オプションや大量アタック遮断サービスなど対策オプションも豊富に取り揃えております。
EC-CUBEペイメントのご紹介ページ
https://www.ec-cube.net/product/payment/
【2】reCAPTCHAプラグインの利用
reCAPTCHAという、フォーム入力者を判別し、不正アクセスや悪質なbotによる入力を防ぐ機能を利用した対策方法です。
オーナーズストアでもreCAPTCHAのプラグインが複数提供されていますので、ご利用をご検討ください。
https://www.ec-cube.net/products/list.php?category_id=&keywords=reCAPTCHA
【3】WAF等で大量アクセスの検知や海外のIPからのアクセスを遮断する
IPアドレスだけでなく、アカウント単位や該当ページへの短期間での大量アクセスの検知を行い必要に応じてアクセスを制限したり、国内からの購入のみであれば海外からのアクセスを制限することも可能です。
EC-CUBEと協業。クラウド型WAF『攻撃遮断くん』のご紹介ページ
https://www.ec-cube.net/products/detail.php?product_id=2703
【4】不正検知サービスの利用
クレジットマスター攻撃に対応した機能を搭載している不正検知サービスを利用することでサービスのポリシーにそって大量アクセスを遮断するなどの対応が可能です。
不正検知サービスのご紹介ページ
https://www.ec-cube.net/info/security/efforts.php#index_tool
■最新版EC-CUBEのクレジットマスター対策:
2023年2月末リリース予定、EC-CUBEの最新版「EC-CUBE 4.2.1」では、クレジットマスターへの抑止として、スロットリング機能を追加する計画です。これにより、一定時間内のリクエスト制限を設けることができます。
※現在はログイン機能の試行回数制限機能が搭載
現在開発中の「EC-CUBE 4.2.1」は、2023年1月19日に実施した開発進捗説明会で、EC-CUBE 4.2.1 で提供されるセキュリティ関連の機能強化についてデモを交えてご紹介しました。特にクレジットカード決済の入口対策として新たに強力セキュリティ強化機能をご紹介しております。その様子は以下のYoutubeで閲覧できますので、ぜひご覧ください。
EC-CUBE4.2.1 開発進捗説明会
https://youtu.be/CDsnf3JXx-M