クレジットカード番号の大量入力を検知・ブロックする方法

目次

1.機能概要
2.導入手順


1.機能概要

「不正カード入力検知機能」を利用することで、
不正クレジットカード入力と判断する条件を登録し、条件に該当する操作を検知した際に、検知メールを送信することができます。

また、不正クレジットカード入力を検知した際に、自動でクレジットカードの登録停止や、サイト停止等の制限を行うことも可能です。

2.導入手順

本機能の導入・運用手順は以下の通りです。

(1)機能利用の申し込み

「不正カード入力検知機能」の利用希望の旨を、弊社サポート窓口までご連絡ください。


以下、デモ環境での実施後、本番環境の順に実施してください。

(2)不正クレジットカード入力と判断する閾値を設定する【店舗様】

以下の項目から、不正クレジットカード入力と判断する閾値の設定をしてください。


1. 不正カード入力検知:同一会員に対するカード入力数

1時間以内もしくは1日以内のいずれかで以下2つを満たした場合に、
初期設定「不正カード入力検知メールの送信先」に検知メールを送ります。
 
 ・同一会員IDに対する、クレジットカード情報入力のエラー(決済連携失敗)回数が、本設定値を超える
 ・同一会員IDに対する、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる
 (※エラー率は80%固定となり、変更できません)

※初期値は「20」です。
※同一会員による攻撃を検知対象外としたい場合は、本設定を空欄で登録してください。



2. 不正カード入力検知:同一IPアドレスからのカード入力数

1時間以内もしくは1日以内のいずれかで以下2つを満たした場合に、
初期設定「不正カード入力検知メールの送信先」に検知メールを送ります。

 ・同一IPアドレスからの、クレジットカード情報入力のエラー(決済連携失敗)回数が、本設定値を超える
 ・同一IPアドレスからの、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる
 (※エラー率は80%固定となり、変更できません)

※初期値は「20」です。
※同一IPアドレスによる攻撃を検知対象外としたい場合は、本設定を空欄で登録してください。



3. 不正カード入力検知:同一サイトに対するカード入力数

1時間以内もしくは1日以内のいずれかで以下2つを満たした場合に、
初期設定「不正カード入力検知メールの送信先」に検知メールを送ります。

 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)回数が、本設定値を超える
 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる
 (※エラー率は80%固定となり、変更できません)

※初期値は「80」です。
※サイト全体に対する攻撃を検知対象外としたい場合は、本設定を空欄で登録してください。


初期設定「不正カード入力検知時ブロック区分」にて「クレジットカード登録ページへのアクセス停止」または「サイト停止」を
選択している場合、本設定に低い値を指定すると、不正なカード入力ではなくとも停止の条件を満たす可能性がありますので
ご注意ください。

例:本設定値が7のとき、2人のエンドユーザーが4回ずつ番号入力を失敗し、サイト全体で合計10回の入力回数しかなかった場合、
  以下2つの条件を満たすため停止の対象となります。

 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)回数が、本設定値を超える
 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる



各初期設定での検知対象となるページは以下の通りです。
※該当ページでの、クレジットカードでの購入や登録実施時に検知します。

・クレジットカード情報登録ページ(member_credit_entry_input.xhtml) ※会員クレジットカード情報保存オプション利用時
・注文情報入力ページ(cart_seisan.xhtml)
・決済方法変更ページ(member_history_order_kessai_input.xhtml) ※NP掛け払い利用時
・定期購入商品の情報変更ページ(teiki_renew.xhtml) ※定期販売オプション利用時 かつ PCIDSSオプションを利用していない場合
・定期購入商品変更ページの支払い方法変更ページ(teiki_renew$payment.xhtml) ※定期販売オプション と PCIDSSオプション利用時
・見積詳細 / 注文情報入力ページ(member_estimate_order_input.xhtml)
 ※見積管理オプション利用時 かつ PCIDSSオプションを利用していない場合



(3)検知した際の対応内容を選択する【店舗様】

不正クレジットカード入力を検知した際の対応内容を、以下の項目から設定してください。

不正カード入力検知時ブロック区分

不正クレジットカード入力検知時の対応内容を選択します。
(選択肢:検知のみ、クレジットカード登録ページへのアクセス停止、サイト停止)
本内容に加え、初期設定「不正カード入力検知メールの送信先」で指定したメールアドレス宛に、検知・対応内容が通知されます。

※初期値は「検知のみ」です。


▼検知のみ
不正クレジットカード入力の検知のみを行います。

検知されたIPアドレスからのアクセスをブロックしたい場合、
初期設定「アクセス除外不正IPアドレス群」にIPアドレスを指定することで、該当IPアドレスからはサイトにアクセスできなくなります。



▼クレジットカード登録ページへのアクセス停止
クレジットカード情報登録ページ(member_credit_entry_input.xhtml )へのアクセスを停止し、エラーメッセージを表示します。


以下のページでクレジットカードでの購入や登録をしようとした場合も、同様にアクセスを停止します。

・注文情報入力ページ(cart_seisan.xhtml)
・決済方法変更ページ(member_history_order_kessai_input.xhtml) ※NP掛け払い利用時
・定期購入商品の情報変更ページ(teiki_renew.xhtml) ※定期販売オプション利用時 かつ PCIDSSオプションを利用していない場合
・定期購入商品変更ページの支払い方法変更ページ(teiki_renew$payment.xhtml) ※定期販売オプション と PCIDSSオプション利用時
・見積詳細 / 注文情報入力ページ(member_estimate_order_input.xhtml)
 ※見積管理オプション利用時 かつ PCIDSSオプションを利用していない場合


アクセス停止対象となるユーザーについて

不正カード入力検知:同一会員に対するカード入力数」で、特定の会員IDに対する不正クレジットカード入力を検知した場合
・・対象会員からのアクセスを、24時間停止します。

不正カード入力検知:同一IPアドレスからのカード入力数」で、特定のIPアドレスからの不正クレジットカード入力を検知した場合
・・対象IPアドレスからのアクセスを、24時間停止します。

不正カード入力検知:同一サイトに対するカード入力数」で、サイト全体での不正クレジットカード入力を検知した場合
・・全てのユーザーからのアクセスを、24時間停止します。


アクセス停止状態は手動で解除することはできかねます。24時間経過するまでお待ちください。



▼サイト停止
サイトをメンテナンス状態にします。
サイト基本情報「ショップオープンフラグ」が「準備中」の状態になります。


サイト停止状態は自動では解除されません。解除方法についてはこちらをご覧ください。




(4)検知メールの送信先を設定する【店舗様】

不正クレジットカード入力検知時のメールの送信先を以下の項目に指定してください。

不正カード入力検知メールの送信先

不正クレジットカード入力検知時のメールの送信先を指定します。カンマ区切りで複数指定できます。
※未設定の場合、店舗管理者メールアドレス宛に通知されます。

送信されるメールのサンプル文
例)「不正カード入力検知時ブロック区分」を「クレジットカード登録ページへのアクセス停止」とし、
  「不正カード入力検知:同一IPアドレスからのカード入力数」で、不正クレジットカード入力を検知した場合

■メール件名
【ebisumart NO】不審なクレジットカード大量入力検知(特定ユーザーのアクセス制限)

■メール本文サンプル
検知日時:2021-12-1 12:34:56

不審なクレジットカード大量入力により、
以下に挙げる特定ユーザーの、クレジットカード情報を入力するページへのアクセスを制限しました。

以下のIPアドレスからクレジットカード情報が繰り返し入力されています。
IPアドレス:192.168.x.x,192.168.x.x


60分以内に、既に同一会員、同一IPアドレス、サイト全体いずれかに対する不正クレジットカード入力を検知し、
検知メールが送信されている場合、メールは再送信されません。

例)60分以内に既に会員Aからの不正クレジットカード入力を検知し、検知メールが送信されていた場合
 ・会員Aからの不正クレジットカード入力を検知した場合 ・・ 検知メールは送信しない
 ・会員Bからの不正クレジットカード入力を検知した場合・・ 検知メールを送信する


同一会員、同一IPアドレス、サイト全体のうち、複数の条件で不正クレジットカード入力を検知した場合、
送信されるメールは複数にはならず、1通にまとめて送信されます。




(5)本機能を利用するため設定を行う【弊社】

上記(4)までの設定後、弊社にて必要な設定を行います。

1.バッチの設定
 1日以内にクレジットカードの決済連携失敗数と失敗率が各設定値を超えた場合を検知するために、バッチを設定します。
 ご希望のバッチの起動時間(=検知メールの送信時間)を、弊社サポート窓口までお伝えください。

・サーバ負荷を避けるため、AM9:00 ~ AM11:00 の時間帯は避けてご指定ください。
・ご連絡いただいてから設定が完了するまで、通常3営業日程度いただいております。
・1時間以内に設定値を超えた場合は、リアルタイムで検知メールを送信しています。


2.不正カード入力検知利用フラグの適用


(6)正常に検知できているかテストを行う(※デモ環境のみ)【店舗様】

1)「不正カード入力検知:同一会員に対するカード入力数」「不正カード入力検知:同一IPアドレスからのカード入力数」
  「不正カード入力検知:同一サイトに対するカード入力数」 で設定した値に基づき、
  不正クレジットカード入力を正常に検知することを確認してください。

テスト時のみ、一時的に各初期設定の値を引き下げていただくと、テストが容易になります。

例として、同一サイトに対するカード入力数で検知テストを行う場合、
1時間以内もしくは1日以内のいずれかで以下2つを満たした場合に検知するため、

 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)回数が、
  初期設定「不正カード入力検知:同一サイトに対するカード入力数」の設定値を超える
 ・サイト全体での、クレジットカード情報入力のエラー(決済連携失敗)率が、80%以上になる

初期設定「不正カード入力検知:同一サイトに対するカード入力数」に「3」を設定した場合、
5回中4回、クレジットカード入力を失敗する必要があります。


2)検知した際に、「不正カード入力検知時ブロック区分」で設定した対応が実施されることを確認してください。



(7)サイト停止を解除する(運用開始後)【店舗様】

不正カード入力検知時ブロック区分」を「サイト停止」とした場合に、以下の画面から、サイトの停止を解除できます。

サイト基本情報画面へのアクセス

▼サイト停止
「ショップオープンフラグ」を「準備中」から「オープンする」に変更してください。