カーディング攻撃は、ビジネスに深刻な影響を与える可能性のあるサイバー犯罪の一種です。 2022年上半期には、23万937件のクレジットカード詐欺が報告され、2020年に企業や消費者が受けた詐欺被害は合計285億8000万ドル(約37兆1540億円※)にのぼりました。サイバー攻撃による被害を完全にゼロにすることは困難ですが、防御を高めるために有効な方法は確かにあります。

当記事では、カーディング攻撃とは何か、ビジネスに与える影響、カーディング攻撃を検出しブロックする方法について説明します。

カーディング攻撃とは

カーディング攻撃とは、犯罪者が盗まれたクレジットカードから情報を取得し、不正使用する手法です。カーディング攻撃は多くの場合、ボットにより行われ、盗まれたクレジットカード情報を複数回並行して認証し、商品の購入に使用できるクレジットカード番号を特定することを目的としています。

カーディング攻撃を実行するために、犯罪者は多くの場合、フィッシング詐欺によるクレジットカード番号の不正入手や、クレジットカード番号のリストのダークウェブでの購入を行います。次に、ボットを使用して、入手したクレジットカードやデビットカード情報のリストをテストし、少額のオンライン購入を行って、アカウント情報が有効であり、盗難手続きがされていないことを確認します。このプロセスは、有効なクレジットカードを特定するまでに何千回も繰り返す必要がありますが、ボットを利用することで、人間よりもはるかに速くこうした処理を行うことができます。

カード情報が認証されると、犯罪者はそれを使用して、関連付けられた口座からの金銭の引き出し、ギフトカードや高額の商品の購入、他の犯罪者への認証されたカードのリストの販売を行うことができます。

カーディング攻撃がもたらす被害

カーディング攻撃は、ビジネスに深刻な被害をもたらす可能性があります。被害の種類には、以下のようなものがあります。

  • チャージバック:盗まれたクレジットカード情報を使用して行われた取引に、顧客が異議を申し立てると、企業にチャージバックされてしまう可能性があります。
  • 取引のブロック:カーディング攻撃が迅速に対処されない場合、決済サービス提供会社はすべての取引をブロックする可能性があり、機会損失が発生します。
  • 評判の低下:カーディング攻撃は、企業イメージや顧客ロイヤリティを低下させ、回復に何年もかかってしまう可能性があります。
  • 違反金:Visa や Mastercard などの決済ネットワークは、チャージバック詐欺や CNP 詐欺(Card-not-present)が一定レベルを超えてしまうと、企業に違反金や罰則を科す可能性があります。
  • 手数料:カーディング攻撃により、企業に追加で処理手数料が科される可能性があります。

カーディング攻撃は金銭的な被害や評判の低下の原因となるだけでなく、企業は対応策や報告、決済サービス提供会社とのやり取りに多くの時間を費やすことを余儀なくされます。そのため、企業は日々の業務に支障をきたし、コストがかさみ、大きな損失を被ります。

一体ハッカーはクレジットカード情報をどのように入手するのでしょうか? 答えは、カーディングフォーラムです。

カーディングフォーラム

カーディングフォーラムは、犯罪者が窃盗したクレジットカード情報を共有し、それらを利用して犯罪を行うための手法について意見交換をするためのオンラインスペースです。これらのフォーラムは多くの場合、匿名通信システム「Tor(トーア、The Onion Router)」を使用して隠蔽されており、法執行機関が犯罪者を追跡するのを困難にするために、暗号通貨を使用して支払いが行われることがよくあります。

カーディング攻撃の仕組み

  1. 犯罪者は、多くの場合、フィッシング詐欺やダークウェブでの購入により、クレジットカード番号のリストを取得します。
  2. 窃盗されたクレジットカードやデビットカード情報のリストは、ボットによりテストされ、少額のオンライン購入により、アカウント情報が有効であり、盗難手続きがされていないことが確認されます。
  3. 有効なカード情報のリストが作成されると、関連付けられたアカウントから金銭を直接引き出したり、ギフトカードや高額の商品を購入したり、有効なリストを他の犯罪者に販売したりすることが可能になります。

ハッカーがカーディング攻撃でボットを使用する理由

カーディング攻撃の効率的な大量処理のため、ボットは重要な役割を果たしています。ボットによる作業の自動化なしでは、犯罪者は有効なカードを識別するために、カード番号や有効期限、セキュリティコードの組み合わせを手動で入力する必要があります。ボットはこのプロセスを自動化するため、犯罪者は大量のカードをテストし、休みなく攻撃を実行し続けることができます。

ボットはまた、犯罪者が攻撃元の IP アドレスを迅速に変更できるため、従来のフラウド対策技術では攻撃を識別してブロックすることが難しくなります。

カーディング攻撃の種類

カーディング攻撃には、以下の種類があります。

クレジットカードスタッフィング

クレジットカードスタッフィングとは、窃盗したクレジットカード情報を商品購入に利用したり、他の犯罪者に販売したりすることです。 2022年夏、アウトドアブランドのノースフェイス社を標的とした大規模なクレジットカードスタッフィングが発生しました。 ハッカーは、有効な認証情報を使用して、ユーザーの個人情報 (請求先住所、名前、購入履歴など) が含まれた20万件近くのアカウントに不正アクセスしました。 幸いなことに、支払い情報はサイトに保存されていなかったため、金銭面の被害はありませんでした。

カードクラッキング / トークンスタッフィング

カードクラッキング / トークンスタッフィングでは、自動化されたボットを使用して、EC サイト上で大量のギフトカードの番号を総当たり的に検証し、有効な組み合わせを特定します。窃盗されたギフトカードは、ダークウェブで販売されたり、転売するための商品の購入に使用されたりします。

大規模なカードクラッキング / トークンスタッフィングの一例は、ハッカーが有名な「ギフトゴーストボット(GiftGhostBot)」を開発した2017年に発生し、約1000件の EC サイトが被害を受けました。ハッカーはボットを使用して、何千件ものギフトカード番号を調べ、各カードの残高を調査しました。そして、残高があるカードを発見すると、それを使って買い物をしたのです。

カーディング攻撃の検出

企業はカーディング攻撃に対して常に警戒しておく必要があります。以下に主な検出方法を紹介します。

  • 不自然に高いショッピングカートの離脱率、平均的に少ないショッピングカート内の商品数、注文プロセスにおける支払い確認の不均衡な使用をモニタリングしましょう。これらはすべて、カーディング攻撃の兆候である可能性があります。
  • チャージバックや支払い承認の失敗率の増加をモニタリングしましょう。
  • 同じユーザー、セッション、デバイス ID、フィンガープリント、または IP アドレスからの複数回の失敗した決済がなかったかを確認しましょう。

上記の兆候がひとつでも検出された場合、すぐに対応を検討する必要があります。 しかし、それよりも優れた戦略は、これらの攻撃を防ぐための対策を事前に講じることです。

カーディング攻撃への防御

カーディング攻撃によるビジネスへの影響を防ぐ方法は、以下のような方法があります。

デバイスのフィンガープリント

ハッカーやボットがカーディング攻撃を実行する場合、さまざまなクレジットカード番号と関連情報の組み合わせを試すことが必要であり、多くの場合、そうしたテストのためにデバイスやブラウザ、セッションを切り替える必要があります。フィンガープリントを使用すると、一意のデバイス、ブラウザ、およびクッキー識別子を作成して、同じユーザーからの複数回の支払い試行を検出し、取引が発生する前にブロックすることができます。

ブラウザの検証

一部のボットは、特定のブラウザを使用しているように見せかけ、検出を回避するためにユーザーを切り替えます。 ブラウザの検証は、ユーザーが使用しているブラウザを確認し、悪意のある JavaScript コードがないか、また人間のユーザーと同じように動作するかを確認するのに役立ちます。そうでないことに気付いた場合は、サイトへのアクセスを簡単に軽減またはブロックできます。

レピュテーション分析

カーディング攻撃を防ぐもうひとつの方法は、トラフィックを比較できる既知のボットのデータベースにアクセスすることです。 予測可能な技術的や行動パターン、アクセス元の IP を把握することは、ボットによるトラフィックを特定し、サイトから迅速にブロックするために有効です。

機械学習による行動分析

機械学習を導入すると、ユーザーの行動パターンが検出できます。実際のユーザーは、予測可能な方法で商品購入や Web サイトの利用をします。機械学習により、サイト全体のユーザーの行動を分析し、異常なパターンを検出することができます。 分析できるデータには、サイトにおけるエンゲージメント関連の数値、マウスの動き、モバイルでのスワイプ動作、アクセスした URL、カートに追加された商品が含まれます。

プログレッシブチャレンジ

ユーザーがボットである可能性がある場合は、それを確認する必要があります。時々サイトで見かける「あなたは人間ですか?」という例のシステムです。このテストは、ボットをブロックするために非常に有効で、例としては、従来の CAPTCHA やクッキーチャレンジ、または JavaScript チャレンジなどの方法があります。

ボット対策ツール

何よりも大切なのは、企業がこれらのボットを検出し、フラウドなどの被害が発生しないようにブロックするためのシステムを利用することです。CHEQ Paradome を導入すると、ボットや不正ユーザーによるサイトへのアクセスを簡単に検出、軽減、ブロックすることができます。 詳細についてはのお問合せはこちら。

よくある質問

カーディング攻撃とは?

カーディング攻撃とは、犯罪者が盗まれたクレジットカードから情報を取得し、不正使用する手法です。カーディング攻撃は多くの場合、ボットにより行われ、盗まれたクレジットカード情報を複数回並行して認証し、商品の購入に使用できるクレジットカード番号を特定することを目的としています。

カーディング攻撃で使用されるクレジットカード情報はどのように不正に取引きされるのか?

犯罪者は、フィッシング詐欺やダーク Web で窃盗された番号のリストを購入することにより、クレジットカード情報を不正取得します。

カーディング攻撃が企業に与える影響とは?

カーディング攻撃は、チャージバック(返金)、取引のブロック・停止、ブランド毀損、違反金、手数料などの深刻な損失を事業者に与える可能性があります。

カーディングフォーラムとは?

カーディングフォーラムは、犯罪者が不正取得したクレジットカード情報を共有し、それらを利用して犯罪を行うための手法について意見交換をするためのオンラインスペースです。これらのフォーラムは多くの場合、匿名通信システム「Tor(トーア、The Onion Router)」を使用して隠蔽されており、法執行機関が犯罪者を追跡するのを困難にするために、暗号通貨を使用して支払いが行われることがよくあります。

ハッカーはなぜボットをカーディング攻撃に使用するのか?

ボットを使うことで攻撃のスピードや規模を大幅に拡大できるため、カーディング攻撃においてボットは重要な役割を果たしています。ボットによるプロセスの自動化がなければ、犯罪者は各クレジットカード番号を手動でテストする必要があり、時間がかかり、非効率です。

カーディング攻撃の検出および防止のため、企業は何ができるのか?

カーディング攻撃を検出して防止するためには、フラウド検出ツールの導入、疑わしいアクティビティのモニタリング、フィッシング防止のための従業員向けトレーニング、厳格なセキュリティプロトコルの設定などがあります。また、企業は最新のカーディング攻撃の傾向やハッカーが使用する手法について、常に最新の情報を追っておく必要があります。

ボットや不正ユーザーによるフラウドや疑わしいアクティビティの検出やブロックについて、CHEQ ジャパンにご相談ください。

※1米ドル=130円にて換算(2023年1月現在)

元の記事:How to Protect Your Business from Carding Attacks: A Comprehensive Guide

最新の記事

不正トラフィックに影響されない
Go-to-Market セキュリティを
今すぐ始めませんか?

今すぐスタート