EC-CUBEのカード情報変更機能を悪用する事案が発生

EC-CUBEのカード情報変更機能を悪用する事案が発生 EC-CUBE
この記事は約2分で読めます。

EC-CUBEのカード情報変更機能を悪用して不正入手したクレジットカード情報の有効性チェックを行っていた疑いが確認されました。
あまり詳細は記載できませんが、他サイトでも起こり得る問題ですので情報開示したいと思います。

GMO-PGから不正取引が検知されたと連絡があった

EC-CUBEをご利用のECサイト様よりクレジットカードの不正取引に関する問い合わせがありました。

そのECサイトではGMOペイメントゲートウェイ(マルチペイメントサービス)を利用していたのですが、GMO-PGから「不正の懸念がある取引が確認された」とECサイトへ連絡があったとのことです。

EC-CUBEを構築した会社は既に倒産し、保守を依頼している制作会社もない状況で、調査方法や対応方法が不明な為、弊社へお問い合わせ頂きました。

マイページのカード変更が悪用されていた

頂いた情報を元に調査したところ、マイページのカード変更から大量のトランザクションがGMO-PG宛に送られていました。

あくまで推測ですが、カード変更機能を悪用して不正入手したクレジットカードの有効性を確認していたようです。
カード変更機能でカード情報を入力しエラーが発生すればそのカード情報は使えない。
正常にカード登録ができればそのカード情報は使える。
という判断をしていたのではないかと思われます。

EC-CUBEに会員登録は誰でもできますし、会員になればマイページ内の機能は利用できます。
クレジットカードの有効性をチェックする為にEC-CUBEに会員登録したのでしょう。

行なった対策

今回、行なった対策としては以下です。

  • 該当会員を削除
  • IPアドレス制限

該当会員はクレジットカード情報の有効性チェックの為に登録されたので、注文された形跡もありませんでした。
即時、会員の削除を行いました。
また、該当IPアドレスからアクセスできないよう制御しました。

reCAPTCHA実装とサーバー側での不正アタック検知などを検討いて頂いています。
(ご予算の兼ね合いもあり社内で検討の必要があり)

決済代行会社の対策

GMO-PGではオプションサービスとして大量アタック遮断サービスがあるようです。
今回のようにEC-CUBEから大量にトランザクションを送っている場合に遮断して貰えます。

クレジットカード関連の事件が多く発生している昨今の状況を考慮すると、オプションサービスではなく標準サービスにして頂くとありがたいです。

投稿者プロフィール

HORIKAWACEO
関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。(退任時役職:常務取締役)

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution


■趣味・好きなもの
WRC / ロードバイク / MMA / ボクシング / サッカー
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist

お気軽にご相談ください

お気軽にご相談ください

タイトルとURLをコピーしました