多発するクレジットマスター
クレジットカードの規則性を悪用し、利用可能なカード番号を判別する行為です。
クレジットカード番号には規則性があるのですが、その規則性を利用して大量のカード番号をECサイトで試して、利用可能なカード番号を割り出すことが可能です。
この行為がクレジットマスターと呼ばれます。
以前、EC-CUBEのカード情報変更機能を悪用してクレジットマスターが行われた事例をお伝えしました。
EC-CUBEのカード情報変更機能を悪用するクレジットマスターが発生
EC-CUBEのカード情報変更機能を悪用して不正入手したクレジットカード情報の有効性チェックを行っていた疑いが確認されました。あまり詳細は記載できませんが、他サイトでも起こり得る問題ですので情報開示したいと思います。GMO-PGから不正...
EC-CUBEのゲスト購入を利用したクレジットマスター
今回ご相談頂いたのは、DGフィナンシャルテクノロジー(旧ベリトランス)から「外部からのクレジットカード情報の検査(有効性)を狙った攻撃が行われている可能性があります。」と報告があったECサイト様です。
調査すると、EC-CUBEのゲスト購入を利用してクレジットマスターを行なっているようでした。
また、サーバの設定で国外IPアドレスをフィルタリングしていましたが、AWSを介した国内IPアドレスでアクセスがありました。
対策
取り急ぎの対策として、
- IPアドレス制限
- ゲスト購入を停止
を実施しました。
引き続き以下の対策をご検討頂いています。
- reCAPTCHAの導入
- 3Dセキュアの導入
EC-CUBEにreCAPTCHAを導入しセキュリティを強化する
reCAPTCHAとは?reCAPTCHA(リキャプチャ)とは、Googleが提供しているフォームでのbot(ボット)による不正行為を防ぐ為の機能です。reCAPTCHAサイトのフォームで「私はロボットではありません」というチェッ...
ECサイトのクレジットカード決済時の本人認証導入(セキュリティコード 、3Dセキュア)
日本クレジットカード協会より、「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドラインが策定、公表されました。簡単に言うと、2011年3月以降、新規にECサイト構築、通販サイト制作する場合には、セキュリティコード 、3Dセキュアなどの本人認証機能を導入を義務づける。というものです。
投稿者プロフィール
- サンクユーのEC-CUBE先生。
EC-CUBEのカスタマイズをし出して早15年。
難易度の高いカスタマイズもお任せ。
2系、3系、4系すべて対応可能。
実はjavaでの業務システム開発がエンジニア人生のスタート。
PHP、Perl、フロントエンド開発、Movable Type、Wordpressも得意という万能エンジニア。
最新の投稿
- EC-CUBE2024.08.06EC-CUBE4.3へのバージョンアップ
- EC-CUBE2024.08.01EC-CUBEでシーズンカタログ機能を実装する
- EC-CUBE2024.07.26EC-CUBEで直販と代販を両立させる
- EC-CUBE2024.05.10EC-CUBEに会社名から住所を自動で入力する機能を実装する