BIN攻撃を防ぐ方法とは

不正利用攻撃

不正利用攻撃、特に列挙詐欺は、カード番号や認証情報を試す目的で支払いを試みる行為を指します。このタイプの詐欺は、順次生成されたカード番号がテストされるカードテスト攻撃、または同じBank Identification Number（BIN）に関連付けられた複数の不正利用されたカード番号が標的となるBIN攻撃とも呼ばれます。

列挙詐欺の特徴

列挙詐欺の一般的なパターンには、次のようなものがあります。

• 0ドルまたは低額のオーソリゼーション金額
• イシュアーおよび/またはRevenueProtectからの拒否率が高い
• 同じイシュアーのBINを使用したオーソリゼーション試行の増加
• ランダムに生成されたカード所有者情報
• 短期間に多数のオーソリゼーション試行の実行

注：これらのパターンは必ずしも詐欺の決定的な指標ではありません。リスク管理を実装する前に、取引アクティビティを徹底的に確認することをお勧めします。

列挙詐欺の影響

• イシュアーの拒否率が高いためオーソリゼーション率が低下
• 繰り返し却下された取引により取引手数料が増加
• 過剰な再試行に対するVisaまたはMastercardの追加手数料

列挙詐欺のリスクを防止または軽減する方法

不正利用犯が不正な試みを行うのを防ぐ最も効果的な方法は、最初にチェックアウトドメインへのアクセスをブロックすることです。Salesforce、Adobe、Zuora、Recurly、Vtexなどの多くのパートナーが、ユーザー企業のWebポータル管理を通じてこの作業を支援してくれます。

ステップ 1: 異常な活動を調査する

まず、イシュアーの拒否率の増加や、0ドルまたはごく少額の決済試行など、異常なアクティビティを調査することから始めてください。行動を起こす前に、これらの活動が詐欺であることを確認することが重要です。

ステップ2: 予防措置を取る

取引が不正であると確認したら、Adyenのプラットフォームにこれらの試みが到達しないように、以下の手順のうち少なくとも1つを実行し、可能であれば3つすべてを短期間で行ってください。該当する場合はWebポータルパートナーを関与させてください。パートナーは次の対策の実装を支援できます。

オプション1：速度しきい値の設定

• ウェブサイトへのアクセス速度を監視して、自動化されたスクリプト化された攻撃を示している可能性のある突然の急増を検出します。
• 特定の時間枠内の訪問回数のしきい値を設定します。
• IP アドレス、デバイス、メールなどのさまざまなデータポイントに基づいて速度を監視します。

オプション2：CAPTCHAコントロールを実装

• CAPTCHAを使用して、ボットやスクリプトが自動取引を開始するのを防ぎます。例えば、設定された時間枠内で1つのIPアドレスからの認証を5回に制限することができます。
• IPアドレスの発信元を追跡し、悪意のあるIPアドレスをブロックします。
• カードの検証や支払いを含むすべてのリクエストには、必ずCAPTCHAの検証を行うようにします。Googleは、reCAPTCHA Enterprise、reCAPTCHA v3、reCAPTCHA v2などのソリューションを提供しています。
• CAPTCHAは効果的ですが、コンバージョン率を下げる可能性があるため、詐欺攻撃が収まったら無効にする一時的な措置として考えてください。

オプション3：Webアプリケーションファイアウォール（WAF）を使用

• WAFは、ネットワーク侵入検知システム（NIDS）、ルートキット検知、ボット対策プログラムなどのツールを活用して、ボットネット活動を検知し防止するのに役立ちます。
• ファイアウォール設定を調整して、ウェブサイトでのページ送信と繰り返しのアクションを制限します。
• 既知の悪意のあるソースからの訪問者を自動的にブロックします。
• プロキシピアシングを用いたデバイスフィンガープリンティングを実装し、同一デバイスからの複数のアクセスを検出してボットを特定します。さらなる保護のために3D Secure認証の追加を検討します。

Adyenの推奨事項

プラットフォームのリスク設定を調整する前に、これらの予防策を確認することをお勧めします。不正行為との戦いを当社が支援することはできますが、これらの取引がプラットフォームに到達する前にブロックするのが理想的です。

それでも不正な取引がプラットフォームに到達する場合は、次の手順に従ってください。

1. 詐欺攻撃の兆候を監視
   • Customer Areaのリスクとディスピュートの管理レポートを使用して、イシュアーの増加やリスク拒否の増加を監視します。
2. 不正なBINを一時的にブロック
   • 攻撃中に詐欺行為者が使用しているBINをブロックすることを検討します。
3. RevenueProtectのリスクルールを有効化
   • リスクスコアーを使用して次のルールを設定します。
     • Y分間にカード番号チャンクの使用回数がX回を超過
     • Y日以内にMastercardまたはVisaのカード番号の使用回数がX回を超過
     • Y時間にカード/銀行口座の番号の使用回数がX回を超過
     • Y分間に購入者のメールアドレスの使用回数がX回を超過
     • Y分間に購入者のIPの使用回数がX回を超過
     • Y日間に購入者が開始したトランザクションの数がX回を超過
4. カスタムリスクルールを利用する
   • RevenueProtect（プレミアム機能）のカスタムルールを使用して、特定した不正傾向をターゲットにします。

RevenueProtectによる不正行為の軽減に関する詳細については不正利用リスク管理ページをご覧ください。