ECサイトを始めようとしているならクレジットカード決済の方法に気をつけよう(1)
ECサイトを始めようとしているならクレジットカード決済の方法に気をつけよう(2)
ときまして、クレジットカードのお話3本目です。
さすがにもうないでしょうと思われましたか?あと一つ、最大の落とし穴があります。
これは、クレジットカードに限ったことではないのですが、皆さん、ウェブサイトのセキュリティといったら、何を思い浮かべますか?
多分、思い浮かべた物事に『不正アクセス』という言葉が含まれるのではないでしょうか。
この不正アクセスですが、目的は様々です。
直接的にあなたを標的としたものだけではなく、あなたを利用することを目的としたものも含まれてきます。
もし、あなたがどこかのユーザビリティの記事で『フォームでの離脱の原因の一つが、入力を何度も間違ってフラストレーションをためることだ。』のようなことを読み、利用者のことを考え、補足説明やエラー内容を事細かに提示してあげるような方策を採っていたとしたら、標的になる可能性はあります。
例えば、クレジットカード決済ですが、入力内容が間違っていると決済サービス側から詳細なエラーが返ってきます。ですが、それを正直に画面に表示することはやめた方がいいでしょう。なぜなら、「限度額が一杯」「有効期限が違います」「セキュリティコードが違います」などという情報は、その入力されたクレジットカード番号が確かに存在していることを逆説的に示すもので、実行するタイミングやクレジットカード番号以外の入力内容を試行することで、第三者が簡単に悪用できるように手助けしてあげているに等しいです。つまり、適当な数字の羅列を流し込めば、あなたのサイトは「そのカード番号は存在しないよ!」とか「カード番号は存在していて、後はセキュリティコードだけだね!惜しい!」と誰かに教えてしまっていることになるのです。
もちろん、エラーを返すようなリクエストが急激に増えれば、クレジットカード決済サービス側が通信を遮断するので、一応のブレーキはかかるのですが、それをくぐり抜けるような頻度で自動実行するプログラムがあなたのフォームをターゲットにしていたら、あなたは犯罪に加担してしまっている可能性があるというわけです。
もちろん、通信を遮断されれば、その間、あなたのサイトから誰も物を買うことはできなくなりますし、攻撃の的にされること自体をどう避けるか、あるいは、的にされたとき、決済サービスまで行かせないようにどうするかが重要になりますね。
情報の重要度がどのくらいか、それを悪意の第三者がどうしたいと思っているのかを想定し、適度を見つけた上でのエラーや機能の実装を行う必要があります。