AIサマリー
WordPressのフォームで決済を受け付けている場合、決済のセキュリティとメール配信の間に知っておくべき重要な関係があります。
カードテスト詐欺は、サイバー犯罪者がよく行う手口で、自動化されたボットを使用して、お客様の支払いフォームで盗まれたクレジットカードを検証します。このようなカードテスト攻撃は、セキュリティ上好ましくないだけでなく、メール送信者のレピュテーションに影響を与え、合法的なビジネスコミュニケーションにも影響を及ぼします。
これがその理由です:各決済フォームの送信は、通常Eメール通知をトリガーします。カードテスト攻撃では、何百、何千もの不正な試行が行われ、送信メールの量が突然急増することがあります。このようなパターンは、メールプロバイダに貴社のドメインで何か異常が起きていることを知らせ、メールの配信方法に影響を与える可能性があります。
しかし、慌てる必要はありません!適切な予防策を講じることで、決済フォームとEメールインフラの両方を保護することができます。
カードテスト詐欺の仕組みと、WordPressサイトを保護するための実際的な手段を探ってみましょう。
カードテスト詐欺とは何か?
カードテスト詐欺(「カーディング」または「カードチェック」とも呼ばれる)とは、犯罪者があなたのウェブサイトで少額のテスト購入を行うことで、盗まれたクレジットカード番号を検証することです。
詐欺師はダークウェブから盗まれたクレジットカード・データのリストを購入する。しかし、どのカードがまだ有効で、どのカードがキャンセルされ、どのカードが詐欺警告の引き金になるかはわからない。そこで、テストするのだ。
自動化されたボットを使用し、通常0.50ドルから5ドルの少額取引を、変動支払いを受け付ける支払いフォーム(寄付フォームが一般的なターゲット)を通して迅速に送信する。
これらの金額は、不正検知システムを回避するのに十分小さく、カード会員に警告を発する閾値以下であり、処理速度も速いため、1時間に数百回のテストが可能である。
カードが取引に成功すると、詐欺師はそのカードが有効であることを知る。こうして確認されたカード番号は、ダークウェブで高値で売られたり、カード所有者が気づく前に多額の買い物に使われたりする。
なぜWordPressサイトが狙われるのか?
- 市場シェアWordPressは、コンテンツ管理システムを持つウェブサイト全体の62%を占め、ウェブ上で最も一般的なプラットフォームとなっている。
- セキュリティ・レベルの違い:中小企業には、大企業のeコマース・プラットフォームで使われているような高度な不正検知システムがないことが多い。
- アクセスが容易:支払いフォームは一般に公開され、自動スキャンによって簡単に見つけることができる。
メール配信とカードテストの不正
サイトオーナーにとってさらに厄介なのはここからだ:1回のカードテスト攻撃で、1時間あたり500~5,000件のトランザクションが試みられ、そのたびにサイトからの電子メール通知が送信されます。
詐欺師が2時間以内に1,000枚の盗難クレジットカードを支払いフォームでテストした場合、WordPressサイトは同じ2時間以内に1,000通の通知メールをあなたのドメインから送信します。
メールプロバイダーによる送信パターンの評価方法
Gmail、Outlook、Yahooなどのメールプロバイダーは、送信者の行動を評価するために自動化されたシステムを使用しています。これらのシステムは、ドメインからのメール量の急激な変化、長期にわたる送信パターンの一貫性、エンゲージメント率、バウンス率、認証プロトコルなどのパターンを分析します。
サイトのメール量が突然10倍から20倍に増加した場合(カードテスト攻撃中に起こりうる)、これらのシステムはそのパターンを異常であると判断する可能性があります。課題は、自動化されたシステムでは、正当な量の増加と潜在的に問題のある活動を簡単に区別できないことです。
送信者の評判を理解する
インターネットサービスプロバイダ(ISP)は、メール送信者を評価する際に、いくつかの信頼シグナルの1つとして送信量の一貫性を使用します。彼らは一般的に予測可能な送信パターンを好みます。
あるドメインからのメール量が予想外に劇的に増加した場合、ISPはさらなる精査を行うことがある。これは、類似のパターンが、時に漏洩したメールアカウント、大量のスパム操作、または送信インフラのセキュリティ問題と関連しているためです。この保護措置は、ISPが本物の脅威をフィルタリングするのに役立つ一方で、予期せぬ量の急増を経験した正当な送信者にも影響を与える可能性があります。
カードテスト攻撃は、レート制限を引き起こし、受信トレイの配置に影響を与え、送信者の評価指標に影響を与える可能性があります。良いニュースは、これらの問題は適切なセキュリティ対策で防ぐことができるということです。
電子メールのパフォーマンスへの影響の可能性
異常な送信パターンによって送信者のレピュテーションが影響を受けると、いくつかのことが起こります。メッセージは追加レビューのためにキューに入れられるため、メール配信が遅れる可能性があります。一部のメッセージが迷惑メールフォルダに振り分けられ、受信トレイへの到達率が低下する可能性があります。注文確認やパスワード再設定などのトランザクションメールに配信上の問題が発生する可能性があります。
送信者のレピュテーションに悪影響が及んでから、それを完全に回復するには通常8週間から12週間かかる。
最善のアプローチは、カードテスト攻撃を未然に防ぐセキュリティ対策を実施し、決済セキュリティと電子メールインフラの両方を保護することです。
出来高急増とスパム苦情:違いを理解する
ほとんどのサイトオーナーは、スパムの苦情がメール配信にどのような影響を与えるかを熟知しています。GmailとYahooは0.3%以下のスパム率を要求しており、ベストプラクティスは0.1%以下を目指すことです。スパム苦情は一般的に徐々に蓄積されるため、問題を特定して対処する時間が与えられます。
カードテスト攻撃によるボリュームの急増は、突然起こり、異なる測定基準に影響するため、異なる課題をもたらす。
複数の影響要因:ボリュームの急増は、単に苦情率に影響を与えるだけでなく、送信パターンの一貫性、バウンス率(詐欺師が無効なメールアドレスを使用した場合)、エンゲージメント指標(不正送信メールは通常、開封やクリックがゼロ)、および全体的なボリュームとエンゲージメントの比率に影響を与える可能性があります。
迅速な発生:スパムの苦情は時間をかけて蓄積されますが、攻撃は数時間以内に発生します。ISPは自動化されたシステムを使って異常な送信パターンにフラグを立てます。
タイムラインカードテスト攻撃がメール配信に与える影響
カードテスト攻撃のタイムラインを理解することで、早期に兆候に気づき、予防措置を講じることができます。典型的なタイムラインを見て、このような攻撃がどれくらいのスピードでメール配信に影響を与えるかを理解しましょう:
ステージ1:攻撃(0時間目~3時間目)
午後11時:最初の不正取引が発生。通知メールが1通送信される。
午後11時15分:あと50回。通知メール50通。
午前12時:ボットがフル回転。この1時間で500回の試行。メールサーバーは500通の送信メールを処理している。
午前1時:さらに500件。通常の1日の送信量が1時間で送信されます。
午前2時:レート制限が始まる。送信パターンがスパムと区別できなくなったため、SMTPプロバイダーがスロットルを開始する。
ステージ2:サービスへの影響(3時間目~24時間目)
攻撃が未対処のまま継続した場合、メールサービスに影響が出る可能性があります。パスワードリセットのメールは遅延する可能性があり、注文確認メールはキューのバックアップにより配信遅延が発生する可能性があります。ISPが異常な送信パターンを確認するため、一部の通知がフィルタリングされたり、遅延したりする可能性があり、ニュースレターの配信率が一時的に低下する可能性があります。
ステージ3:評判効果(1~7日目)
攻撃を止めた後も、電子メールのパフォーマンスに影響が出る可能性がある:
ISPが異常な送信パターンを処理するにつれ、ドメインのレピュテーションメトリクスに変化が現れるかもしれません。Google Postmaster Toolsのようなメール監視ツールは、レピュテーションスコアの低下を示すかもしれません。この期間中、受信箱の配置率が通常より低くなる可能性があります。
だからこそ、予防は修復よりもはるかに効果的なのだ。
ステージ4:回復プロセス(1~12週目)
送信者レピュテーションが影響を受けている場合、それを再構築するには計画的なアプローチが必要です。新しいIPアドレスを「ウォーミングアップ」するようなプロセスで、送信者レピュテーションを徐々に回復させる必要があります。そのためには、15日から60日かけて、最もメールに関与している購読者から徐々にメール量を増やしていく必要があります。
カードテストの不正を防ぐには
カードテスト詐欺を防ぐ最も効果的な方法の1つは、支払いフィールドに最低価格を設定することです。このシンプルな設定により、何千もの不正行為を未然に防ぐことができます。
最低価格設定が機能する理由
この方法は非常にシンプルですが、非常に効果的です。支払いフィールドに最低取引額(5ドル、10ドル、20ドルなど)を設定すると、その基準額以下の取引は処理されません。
詐欺師は0.50ドルから2ドルの間のマイクロトランザクションを好むので(詐欺の警告をトリガーする可能性が低い)、最低価格を設定することは、あなたのフォームがカードテストにとって魅力的でなくなります。一方、実際の商品やサービスは最低価格よりも高いため、正当な顧客は影響を受けません。
最低価格の設定
WPFormsを使用している場合、支払いフィールドの最低価格を設定する方法は以下の通りです:
- フォームビルダーでフォームを開く
- 支払いフィールドのあるフォームに移動する
- お支払いの単品フィールドを選択してください。
- フィールドオプションをクリック
- 最低価格」の設定を見つける
- 最低金額を入力
重要なのは、詐欺師を抑止するのに十分な高さでありながら、正規の最低価格設定に影響を与えない程度に低く設定することである。訪問者がカスタム金額を入力できる寄付フォームの場合、最低5ドルでも、本物の寄付者を落胆させることなく、大きな保護となる。
完全な電子メール保護戦略
カードテストの不正を防ぐには、何重もの防御が必要です。これが完全な防御戦略です:
レイヤー1:攻撃を防ぐ(フォームのセキュリティ機能)
防御の第一線として、すべての支払いフィールドに最低価格を設定しましょう。この設定だけで、何千もの詐欺行為を阻止することができます。これは、訪問者が任意の金額を入力できる寄付フォームでは特に重要です。
CAPTCHA またはその代替手段をフォームに追加して、自動ボットが支払いフィールドに到達するのを阻止しましょう。ほとんどのフォームプラグインは Google reCAPTCHA v2 と v3 をサポートしています。
利用価値の高いフォームの場合は、送信前にユーザーにメールアドレスの確認を求める メール認証を有効にします。また、条件付きロジックを使用して、ユーザーが必須情報フィールドを入力した後にのみ支払いフィールドを表示することで、自動化された攻撃をより困難にすることができます。
決済にStripeを使用している場合は、Stripe Radarを有効にしてください。Stripe Radarは、数百万件の取引から機械学習を用いて不正パターンを特定する、組み込みの不正検知システムです。
レイヤー2:適切な電子メールインフラ(WP Mail SMTP)
ほとんどのWordPressサイトオーナーが見逃している重要なポイントがあります:WordPressのデフォルトのwp_mail()関数をトランザクションメールに使用してはいけません。
なぜか?wp_mail()はウェブホストのメールサーバーを使用しますが、適切な認証(SPF、DKIM、DMARC)がなく、評判の悪い共有IPアドレスを使用し、スロットリングやキューイング機能がなく、突然のボリュームの急増に対応できず、ロギングや監視を提供しないからです。
カードテスト攻撃が発生すると、wp_mail()は何の安全策もなしに、すべての通知を即座に送信しようとします。
WP Mail SMTPは、プロのSMTPサービスプロバイダを介してWordPressの電子メールをルーティングし、いくつかの利点を提供します:
SPF、DKIM、DMARCレコードによる適切な認証により、お客様のEメールが正当なものであることを証明します。ISPは、送信者のレピュテーションを計算する際、認証に重きを置きます。
専用インフラとは、お客様のメールが共有ホスティングサーバーではなく、定評のあるプロのメールサーバーを通じて送信されることを意味します。
レート制限とキューイングにより、ボリュームの急増が発生した場合、メールはキューに入れられ、レッドフラグを立てる代わりに安全なレートで送信されます。
バックアップ接続を使えば、プライマリのEメールサービスが一時的にダウンしても、別のEメールプロバイダを利用できる。
メールログは、WordPressから送信されたすべてのメールを追跡します。攻撃中、何が起きているのか、何通のメールが送信されたのかを正確に把握することができます。
プロフェッショナルなSMTPプロバイダーは、ボリュームの変動に対応し、攻撃中の配信性を維持するように構築されているため、プレッシャーの下でも配信性が向上します。
レイヤー3:スマートな通知戦略
すべてのフォーム通知を監査し、以下の重要な質問を自問自答してください:
送信のたびにメールを送る必要がありますか?決済フォームの場合、決済が成功した場合のみ通知を送信し、決済が拒否された場合は通知をスキップする、または条件付き通知を使用して明らかな不正をフィルタリングする(決済が1ドル未満の場合は通知しないなど)ことを検討してください。
通知を一本化できるか?取引ごとに1通の電子メールを送信する代わりに、全取引のダイジェスト電子メールを毎日送信したり、しきい値通知(10取引後にのみ通知)を行ったり、電子メールの代わりに不審なアクティビティに対してSMSアラートを送信したりすることができます。
適切な相手に送信していますか?送信先」の設定を見直して不要な受信者を削除したり、個人的なEメールではなく役割ベースのアドレスを使用したり、Eメールではなくチケットシステムに送信することを検討してください。
レイヤー4:モニタリングとアラート
攻撃を早期に発見できるように監視を設定する:
Googleポストマスターツールは、あなたのドメインの評判を4段階(悪い、低い、中・公正、高い)で表示し、スパム苦情、配信エラー、認証の問題を警告します。これは、送信量の多い送信者にとって特に重要です。
マイクロソフトのSNDSは、OutlookやHotmailドメインでの評判に関するフィードバックを提供し、Sender Scoreは、0~100の数値による評判評価を無料で提供します。
WP MailのSMTPメールロギングを有効にして送信量を監視し、異常なスパイクに対するアラートを設定します。フォームプラグインの入力管理を使用して、同じIPからの複数の送信、類似した名前、マイクロトランザクションなどの疑わしいパターンを監視する。
カードテストの活動を早期に認識する
カードテストの活動を早期に発見することで、迅速に対応し、影響を最小限に抑えることができます。以下に、注意すべきパターンを示します:
Eメールの受信箱に突然のフォーム通知メールの洪水(1日に数通ではなく、1時間に数十通)に注意してください。通知メールには通常、少額($0.50~$5.00)の、名前もメールアドレスも異なる、しかし類似した取引パターンが表示されます。国際的なEメールアドレスや請求先の国と一致しないアドレスが表示されることもあり、すべての送信は数分から数時間以内に集中します。
メールログ送信メールの量が急増している(通常の10倍以上)、支払いフォームからの通知メールの割合が高い。バウンス率の上昇に伴い、配信失敗が増加している可能性があります。
支払い処理業者のダッシュボードで複数の取引拒否が連続して発生した場合は赤信号です。カード番号は異なるが配送先住所は同じ、ベロシティ・アラート(1分間に何度もトランザクションが発生する)、国際的な請求先住所が混在している、詐欺の疑いのある国のカードがテストされている、などに注意してください。
メール配信の復旧手順
カードテストインシデントによりメール配信に影響が出た場合、復旧のための体系的なアプローチをご紹介します:
緊急措置(0~24時間)
支払いフォームを一時的に無効にするか、支払いフィールドの最低価格設定を直ちに有効にして、進行中の攻撃をすべて阻止してください。まだ有効になっていない場合はreCAPTCHAを追加し、不正行為を示すIPアドレスをブロックする。
WP MailのSMTPメールログを確認し、送信されたメールの数をカウントして被害を評価する。Google Postmaster、Microsoft SNDS、Sender Scoreで送信者の評価スコアをチェックする。主要なプロバイダー(Gmail、Outlook、Yahoo)へのメール配信可能性をテストし、MX Toolboxなどのツールを使用してブラックリストのステータスをチェックする。
直ちにSMTPプロバイダに連絡して、カードテスト攻撃について説明し、ダメージコントロールを実施する。IPレピュテーションの状況および修復オプションについて尋ね、回復スケジュールについてガイダンスを求める。
短期回復(1~4週目)
問題送信を一時停止し、低容量から徐々に増加させながら、熱心なユーザーを優先することで、徐々に再ウォームアップを実施する。
1週目過去7~10日以内にメールを開封した購読者のみに送信します。配信量を通常より70~80%減らし、最も価値の高いトランザクションメールに焦点を当て、配信可能性の指標を毎日監視します。
週目~3週目:過去30日間にコンタクトのあった購読者に拡大。バウンス率とスパム苦情を監視し続け、送信者のレピュテーション・スコアの改善を確認する。
4週目:エンゲージメントの低い購読者を徐々に戻し、通常のボリュームの50~70%に近づけ、配信メトリクスの安定を確認する。
長期予防(継続中)
すべての支払いフォームで最低価格設定を恒久的に有効にし、すべての支払いフォームでreCAPTCHAを維持することにより、すべての保護レイヤーを実装する。すべてのWordPressメールにプロフェッショナルなSMTPインフラを使用し、フォーム設定のセキュリティ監査を定期的に実施する。
送信者のレピュテーションスコアの週次チェック、毎月のメール配信性監査、四半期ごとの全フォームのセキュリティレビュー、ボリュームの急増に対する自動アラートなど、モニタリングルーチンを確立する。
フォームプラグインを常に更新し(セキュリティパッチは詐欺防止に対応することが多い)、SMTPプラグインを常に更新し、メール認証記録を毎年見直し、新しい詐欺の手口について常に情報を得ることで、最新の状態を維持しましょう。
支払いフォームとEメールインフラは、サイト全体のコミュニケーションシステムの一部として連携しています。一方を保護すれば、もう一方も保護されることが多いのです。
支払いフィールドに最低価格を設定することで、カードテストの不正行為に対する効果的な防御の第一線が確立され、過剰な通知メールが送信される前に不正行為を防止することができます。
WP Mail SMTPのような専門的なSMTPソリューションを使用することで、認証、レート制限、および監視機能を備えた適切なインフラを通じて、正当な電子メールが確実に配信されるようになります。
適切な設定とツールを導入することで、優れたメール配信性を維持しながら、自信を持って支払いを受け付けることができます。
次は、WordPressのメールセキュリティを向上させる方法について詳しく説明します。
WP Mail SMTPの安全性について疑問をお持ちですか?あるいは、メールセキュリティ全体を向上させるためのさらなるステップを踏みたいですか?WordPressのメールセキュリティに関するガイドがお役に立ちます。
メールを修正する準備はできていますか?最高のWordPress SMTPプラグインで今すぐ始めましょう。メールを修正する時間がない場合は、追加購入としてWhite Glove Setupのフルサポートを受けることができます。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressのヒントやチュートリアルをご覧ください。
