知らない間にクレジットカード情報が盗まれる?Webスキミングの手口と対策
2023年11月、国内で初めてWebスキミングによる犯罪が摘発され話題となりました。この事件は、正規のECサイトに不正なプログラムを埋め込み、商品を購入する際に入力したクレジットカード情報を不正に窃取したものです。
近年では、コロナの影響もあり企業がECサイトを活用して商品を販売することが一般的になりましたが、その一方でクレジットカードの不正利用被害は年々増加傾向にあります。
日本クレジット協会が公表する「クレジットカード不正利用被害の集計結果について」によると、2023年(1月~9月)では401.9億円もの不正利用被害が発生しており、その被害は深刻です。本ページではWebスキミングの手口とその対策について説明します。
(出典:一般社団法人 日本クレジット協会 クレジットカード不正利用被害の集計結果について)
目次
Webスキミングとは?
Webスキミングとは、攻撃者がECサイトに不正なプログラムを設置し、サイトに訪れた利用者が入力した個人情報やクレジットカード情報を不正に窃取する攻撃のことです。
一般的なスキミングでは、スキマーと呼ばれる特殊な機械に利用者のクレジットカードを通すことでその情報を抜き取る手口を指しますが、そのスキマーの役割を不正なプログラムで代用しているイメージです。
クレジットカードや口座情報を盗み取る手口としては、利用者を偽サイトに誘導するフィッシングが有名です。フィッシングの場合は偽サイトに利用者を誘導するため、URLを確認すれば偽サイトであると見抜くことが可能です。
※近年は正規サイトに限りなく近いURLに偽装したり、二次元コードや短縮URLを利用することで偽サイトであることを隠すケースもあり、簡単に見分けられるわけではありません。
一方Webスキミングの場合、利用者はあくまで正規のサイトにアクセスした上でクレジットカード情報などを入力しているため、その情報が抜き取られていると気づくことは非常に困難であると言えるでしょう。
また、ページ内に組み込まれる不正なプログラムも巧妙に隠されています。
JC3(日本サイバー犯罪対策センター)が公開している記事においても、不正スクリプトは、著名なJavaScriptのライブラリ(jQuery)を偽装したファイル名となっており、HTMLファイルを確認しても、一見すると改ざんに気が付かない可能性があります。
としており、仮に利用者がHTMLのソースファイルを見たとしてもWebスキミングの存在に気づくことは難しいでしょう。
(出典:JC3(日本サイバー犯罪対策センター) ECサイト改ざんによるクレジットカード情報窃取について
Webスキミングの手口
ここからはWebスキミングの手口について説明いたします。
ECサイトを改ざんする
攻撃者は、ECサイトの脆弱性などを利用して不正アクセスを行い、Webスキミング用のプログラムを決済ページに仕込みます。 あとは何も知らない利用者がそのECサイト上でクレジットカード情報を入力すれば、プログラムが動作し、攻撃者にクレジットカード情報が送られます。
ECサイト内で利用されている外部サービスを改ざんする
攻撃者はECサイト内で利用されている外部サービスに不正アクセスを行い、Webスキミング用のプログラムを仕込みます。
先ほどの手口と異なる点として、外部サービスを改ざんする場合は、一度プログラムの設置に成功すれば、そのサービスを利用している複数のECサイトでWebスキミングを行うことができることです。
また、攻撃者はECサイトを直接攻撃する必要がないため、ECサイト運営者にWebスキミングを行っていると気づかれずに情報を窃取することが可能です。
実際に外部サービスを狙った攻撃も国内で確認されております。
2022年には第三者の不正アクセスによりソースコードの一部が改ざんされ、サービスを利用していた複数のECサイトで入力されたクレジットカード情報(個人情報含む)が流出しました。
Webスキミングの対策
ここからはWebスキミングを回避するための対策についてご説明いたします。
利用者の対策
ECサイトの利用者がWebスキミングに気づくことが難しいことは説明いたしました。そのため、Webスキミングが行われてもすぐに気づけるような対策が有効です。
クレジットカードの利用明細を確認する
定期的に利用明細を確認し、身に覚えのない利用履歴がないかどうかを確認するよう心がけましょう。
いつもと比較して請求額が高額であれば容易に気づくことができますが、不正利用された金額が少額である場合は利用明細を見なければ気づかない可能性があります。
クレジットカード利用時に通知されるよう設定する
最近はクレジットカード利用時に利用場所、日時や金額などを通知するサービスが提供されております。不正利用があってもすぐに気づくように設定しておきましょう。
事業者の対策
Webスキミングは利用者で気づくことは困難であるため、ECサイトを運営する事業者側の対策が重要です。
ECサイトで利用しているミドルウェアやソフトウェアを最新に保つ
攻撃者はECサイトに不正なプログラムを仕込む前に、サイトの脆弱性などを利用して不正アクセスを試みます。そのため、ECサイトで利用しているソフトウェアやミドルウェアを適切にバージョンアップし、脆弱性が利用されないよう対策しましょう。
外部サービスの利用は必要最低限とする
最近では簡単なコードを挿入するだけで利用できる外部サービスが充実しています。便利なものも多く、つい色々なサービスを利用してしまいがちですが、外部サービスが悪意のある攻撃者に改ざんされる可能性があることも念頭に置きましょう。
利用する外部サービスは適切に管理し、使わなくなったサービスがいつまでもECサイト内に残ることがないようにしましょう。
ALSOKがおすすめするサービス
ALSOKではWebスキミングへの対策として以下のサービスを取り扱っています。
ホームページ改ざん対策サービス
ECサイトを運営するお客様に、特におすすめのサービスとして、ALSOK ホームページ改ざん検知・復旧サービスを提供しています。本サービスは、ホームページを24時間365日監視し、改ざん発生後0.1秒未満で検知・復旧を行うサービスです。そのため、万が一ECサイトに不正アクセスがあり、スキミング用のプログラムが仕込まれたとしても瞬時に検知・復旧を行うことが可能です。サービスの管理についてはALSOKが支援を行うため安心して運用いただけます。
ALSOKの関連商品
まとめ
Webスキミングは正規のECサイト上で行われる巧妙な攻撃手法です。そのため、ECサイト利用者だけでなく、ECサイトを運営している企業であっても、利用している外部サービスが改ざんされてしまえば攻撃の検知が難しい状況です。
利用者はECサイト提供側がセキュリティ対策を行っているから大丈夫だろうと任せっきりにするのではなく、利用者自身もどうすれば安全にサービスを利用できるのか、実際に被害にあった場合にはどうすればよいのかについて日ごろから考えながら利用することが大切です。
利用者とECサイトの運営事業者の双方が必要な対策を講じ、適切な注意を払うことで、Webスキミングのリスクを回避していきましょう。
情報セキュリティについてお悩みをお持ちの方は、ぜひALSOKまでお問い合わせください。