EC-CUBEのカード情報変更機能を悪用するクレジットマスターが発生

EC-CUBEのカード情報変更機能を悪用して不正入手したクレジットカード情報の有効性チェックを行っていた疑いが確認されました。
あまり詳細は記載できませんが、他サイトでも起こり得る問題ですので情報開示したいと思います。

GMO-PGから不正取引が検知されたと連絡があった

EC-CUBEをご利用のECサイト様よりクレジットカードの不正取引に関する問い合わせがありました。

そのECサイトではGMOペイメントゲートウェイ（マルチペイメントサービス）を利用していたのですが、GMO-PGから「不正の懸念がある取引が確認された」とECサイトへ連絡があったとのことです。

EC-CUBEを構築した会社は既に倒産し、保守を依頼している制作会社もない状況で、調査方法や対応方法が不明な為、弊社へお問い合わせ頂きました。

マイページのカード変更が悪用されていた

頂いた情報を元に調査したところ、マイページのカード変更から大量のトランザクションがGMO-PG宛に送られていました。

あくまで推測ですが、カード変更機能を悪用して不正入手したクレジットカードの有効性を確認していたようです。
カード変更機能でカード情報を入力しエラーが発生すればそのカード情報は使えない。
正常にカード登録ができればそのカード情報は使える。
という判断をしていたのではないかと思われます。
これらの行為はクレジットマスターと呼ばれます。

EC-CUBEに会員登録は誰でもできますし、会員になればマイページ内の機能は利用できます。
クレジットカードの有効性をチェックする為にEC-CUBEに会員登録したのでしょう。

行なった対策

今回、行なった対策としては以下です。

• 該当会員を削除
• IPアドレス制限

該当会員はクレジットカード情報の有効性チェックの為に登録されたので、注文された形跡もありませんでした。
即時、会員の削除を行いました。
また、該当IPアドレスからアクセスできないよう制御しました。

• reCAPTCHA実装
• サーバー側での不正アタック検知

を引き続き検討頂いています。

EC-CUBEにreCAPTCHAを導入しセキュリティを強化する

reCAPTCHAとは？reCAPTCHA（リキャプチャ）とは、Googleが提供しているフォームでのbot（ボット）による不正行為を防ぐ為の機能です。reCAPTCHAサイトのフォームで「私はロボットではありません」というチェッ...

www.thank-u.net

2017.10.03

決済代行会社の対策

GMO-PGではオプションサービスとして大量アタック遮断サービスがあるようです。
今回のようにEC-CUBEから大量にトランザクションを送っている場合に遮断して貰えます。

クレジットカード関連の事件が多く発生している昨今の状況を考慮すると、オプションサービスではなく標準サービスにして頂くとありがたいです。

EC-CUBEゲスト購入機能を利用したクレジットカードマスター

EC-CUBEゲスト購入機能を利用したクレジットカードマスターも発生しました。
あの手この手でクレジットマスターを行ってきますので、EC-CUBEに限らずECサイト事業者様はくれぐれもご注意ください。

EC-CUBEのゲスト購入を利用したクレジットマスターが発生

多発するクレジットマスタークレジットカードの規則性を悪用し、利用可能なカード番号を判別する行為です。クレジットカード番号には規則性があるのですが、その規則性を利用して大量のカード番号をECサイトで試して、利用可能なカード番号を割り出す...

www.thank-u.net

2023.03.28

投稿者プロフィール

OSAMU HORIKAWACEO

関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。（退任時役職：常務取締役）

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution


■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン

最新の投稿

• EC-CUBE2023.07.31EC-CUBEイプシロン定期課金に登録しているクレジットカード番号が勝手に上書きされる
• EC-CUBE2023.06.13個人事業主からEC-CUBEトラブルの相談〜EC-CUBEの依頼先にはお気をつけください〜
• ECサイト構築・運営2023.04.032022年のクレジットカード不正利用は過去最悪の436億円でECサイト運営リスク増大
• EC-CUBE2023.02.10決済代行会社を乗り換えるだけでEC-CUBEの収益がアップする