カードテスティングは不正利用の一種で、盗難カードの情報を購入に使用できるかどうかを確認しようとする行為のことです。不正利用者は盗難クレジットカードの情報を購入し、それらのカードを使って認証や購入処理を行い、どのカードが現在も有効であるかを判断します。カードテスティングは、「カーディング」、「アカウントテスト」、「カードチェック」とも呼ばれます。
カードテスティングのような不正行為は、オンラインコマースでは避けられないことです。しかし、決済エコシステム全体に影響が及ぶため、加盟店、カードネットワーク、決済パートナー (Stripe など) は、カードテスティングを防ぐ責任を共同で負っています。Stripe は不正利用を検出し、低減するためにツールやシステムの改善を続けていますが、ユーザーの側でも、不正利用に常に警戒する必要があります。
カードテスティングの仕組み
カードテスターは、盗まれたカードや生成されたカードの情報の有効性を判断するため、オーソリと支払いの両方を利用します。
- オーソリ: 通常、オーソリはカード保有者の明細書に記載されないため、カードテスティングによく使用されます。また、支払いを利用する場合と比べ、カード保有者が不正利用行為に気付いたり報告したりする可能性が低くなります。
- 支払い: カードテスターは、カード保有者が気付いたり不正利用として報告したりする可能性が低い、少額の支払いをよく利用します。このため、寄付のページや少額の購入が行われるビジネスがカードテスターの理想的なターゲットとなります。
影響
カードテスティングには多くの悪影響があり、その中にはカードテスティングが続くにつれてさらに悪化するものがあります。
- 不審請求の申請: 多くのタイプのカードテスティングでは支払いが行われ、その一部は成功します。支払いが成功すると、カード保有者がこれに気付き、不正利用として報告します。その結果、ビジネスの時間と費用を奪う不審請求の申請が発生します。
- 支払いの拒否率の増加: 多くの場合、カードテスティングが行われると、ビジネスでの支払い拒否率が増加します。拒否率が高いと、ビジネスに対するカード発行会社とカードネットワークからの評価が下がり、すべての取引が疑わしく見られるようになります。このため、正当な支払いでも拒否されることが増え、カードテスティングが行われなくなった後もその状態が続く可能性があります。
- 追加手数料: カードテスティングが行われると、カスタム料金プランでのオーソリ手数料や不審請求の申請の処理手数料など、追加手数料が発生することがあります。
- インフラへの負荷: 一般に、カードテスティングでは多くのネットワークリクエストや操作が実行されます。これにより増大したトラフィックがインフラに負荷をかけ、正当なアクティビティに影響することがあります。
- エコシステム健全性へのダメージ: カードテスティングは金融システム全体に悪影響を及ぼします。そのため、Stripe はカードテスティングを防止できるようにユーザーを支援しています。
カードテスティングに関する有効なチェックリスト
カードテスターのターゲットになっている場合は、直ちに以下の対策をとることをお勧めします。
- カードテスティング行為を識別します。
-
不審請求の申請を回避するために、不正利用による支払いを返金します。
- プラットフォームのサポートチームに連絡し、カードテスティング対策をアカウントに追加する方法を問い合わせます。
- アカウントをモニタリングし、対策に効果があることを確認します。
カードテスティングを識別する
ほとんどのカードテスティング行為は、支払い拒否の著しい増加によって判別できます。ブロックされた取引で支払いの詳細を表示すると、カードテスティングが原因でブロックされたかどうかがわかります。
カードテスティングを防止する
カードテスターは、不正利用行為が防止されないように広範なテクニックを駆使します。そのため、多くの場合、ユーザーエージェント文字列などに基づくシンプルなファイアウォール規則やフィルターだけでは、カードテスティングを防止することができません。
プラットフォームのパートナーである Stripe は、レート制限、警告、機械学習モデル、継続的なレビューなど、カードテスティングを防止するために多くの自動的な制御機能や手動の対策を実行しています。ユーザーがカードテスティング攻撃を受けていることが検知された最初の段階で、Stripe はその攻撃を軽減するためにできる限り多くの制御機能を適用します。
ユーザーの側でも、決済に以下の情報を含めることで、カードテスティング検出モデルの性能を大幅に向上させることができます。
- IP アドレス
- 購入者のメールアドレス
- 顧客名
- 請求先住所