Webスキミングとは？ECサイトを狙う手口と事業者・利用者が取るべき対策

Webスキミングとは、攻撃者がECサイトに不正なスクリプト（プログラム）を埋め込み、利用者が入力したクレジットカード情報や個人情報を窃取するサイバー攻撃です。従来のスキミングをオンライン上で行う手口であり、正規のサイト上で情報が盗まれるため、利用者が異変に気づくことは極めて困難です。

企業がECサイトで商品・サービスを販売する機会が広がる一方で、クレジットカードの不正利用被害は増加傾向にあります。日本クレジット協会が公表する集計結果によると、2023年（1〜9月）だけで401.9億円もの不正利用被害が発生しており、その深刻さは年々増しています。本記事では、Webスキミングの手口と具体的な対策をわかりやすく解説します。

（出典：一般社団法人 日本クレジット協会　クレジットカード不正利用被害の集計結果について）

Webスキミングとは？

Webスキミングとは、攻撃者がECサイトに不正なスクリプトを埋め込み、利用者が入力した個人情報やクレジットカード情報を盗み取る攻撃手法です。

従来のスキミングでは「スキマー」と呼ばれる特殊な機械を使ってカード情報を抜き取りますが、Webスキミングではその役割を不正なスクリプトが担います。利用者のブラウザから攻撃者のサーバーへ直接情報が送信される仕組みのため、Webサイト側からの検知が非常に難しいという特徴があります。

クレジットカード情報を狙う手口としてはフィッシングも広く知られています。フィッシングは偽サイトへ誘導する必要があるため、URLをよく確認する利用者であれば見抜ける場合があります。
※近年は本物に限りなく近いURLへの偽装や、二次元コード・短縮URLを用いて偽サイトを隠す手口も増えており、単純に見分けられるわけではありません。

一方、Webスキミングの場合は利用者が正規のサイトにアクセスした状態でカード情報を入力しているため、情報が盗まれていると気づくことはほぼ不可能です。

また、埋め込まれる不正スクリプト自体も巧妙に偽装されています。カード情報を保持しない「非保持化」を実施済みのECサイトでも被害に遭う可能性があり、2022年4月公開のPCI DSS v4.0ではWebスキミング対策が新たな要件として追加されるなど、業界全体での対策の重要性が高まっています。

JC3（日本サイバー犯罪対策センター）が公開した記事でも、不正スクリプトは、著名なJavaScriptのライブラリ（jQuery）を偽装したファイル名となっており、HTMLファイルを確認しても、一見すると改ざんに気が付かない可能性があります。と指摘しており、仮にHTMLのソースを目視確認したとしても、Webスキミングの存在を見つけるのは困難な状況です。

（出典：JC3（日本サイバー犯罪対策センター）　ECサイト改ざんによるクレジットカード情報窃取について）

Webスキミングの手口

Webスキミングには、大きく2つの攻撃パターンがあります。

手口①　ECサイト自体を改ざんする

攻撃者はECサイトの脆弱性を突いて不正アクセスし、決済ページにWebスキミング用のスクリプトを仕込みます。その後、利用者がカード情報を入力すると同時に、そのデータが攻撃者のサーバーへ自動で送信されます。利用者から見れば通常の購入画面と何ら変わりなく、被害が表面化するまで時間がかかるのが特徴です。

手口②　ECサイトが利用する外部サービスを改ざんする

攻撃者はECサイトが組み込んでいる外部サービス（広告配信・アクセス解析など）のサーバーに侵入し、そこにスキミング用スクリプトを仕込みます。一度の改ざんでそのサービスを利用する複数のECサイトを同時に攻撃できるため、被害範囲が広がりやすい点が特に危険です。

さらに、この手口ではECサイト本体を直接攻撃しないため、WAF（Web Application Firewall）や従来型の改ざん検知では防御が難しいという問題があります。

【海外事例】Magecartによる大規模攻撃

Webスキミングの実例として最も知られるのが、サイバー犯罪グループ「Magecart」による一連の攻撃です。2018年8月〜9月にかけて、英国の大手航空会社British Airwaysのウェブサイト・アプリに不正スクリプトが仕込まれ、約38万人分の決済情報が流出しました。攻撃者はわずか22行のJavaScriptを既存ライブラリに追加するだけで15日間にわたって検知を回避し、英国データ保護当局（ICO）から最終的に2,000万ポンドの制裁金が課されています。同グループはTicketmasterやNeweggなど多数のサービスにも同様の手口で侵入しており、外部サービス経由のWebスキミング攻撃が国際的に深刻な問題であることを示す代表的な事例です。

Webスキミングの対策

利用者の対策

利用者がWebスキミングをリアルタイムで察知するのはほぼ不可能です。被害を最小限に抑えるため、「気づける仕組み」を整えておくことが重要です。

クレジットカードの利用明細を定期確認する

定期的に明細を確認し、身に覚えのない利用がないかチェックしましょう。高額請求であればすぐ気づけますが、少額の不正利用は明細を見なければ発覚が遅れることがあります。

カード利用時の通知サービスを設定する

クレジットカードの利用ごとに日時・金額・利用場所を通知するサービスを活用しましょう。不正利用があってもすぐに気づき、早期対応につながります。不審な利用が確認されたら、速やかにカード会社へ連絡してください。

事業者の対策

利用者側での検知が難しい以上、ECサイトを運営する事業者側のセキュリティ対策が攻撃を防ぐ最初の砦となります。

ミドルウェア・ソフトウェアを常に最新版に保つ

攻撃者はスクリプトを仕込む前に、サイトの脆弱性を利用した不正アクセスを試みます。ソフトウェアやCMSを適切にアップデートし、既知の脆弱性を塞いでおくことが基本的かつ重要な対策です。

外部サービスの利用を必要最小限にし、適切に管理する

簡単なコード一行で導入できる外部サービスは便利な反面、改ざんされた場合の被害経路にもなり得ます。導入する外部サービスは以下の観点で管理しましょう。

• 利用中の外部サービスを一覧化し、承認プロセスを設ける
• CSP（Content Security Policy）で外部リソースへのアクセスを制御する
• 不要になったサービスはすみやかに削除する
• サードパーティスクリプトを定期的に監視・点検する

改ざん検知で「いち早く気づく」体制を整える

対策を講じていても、ゼロリスクにはなりません。万一スクリプトが埋め込まれた場合でも、改ざんを早期に検知し、速やかに復旧できる体制があれば被害の拡大を防ぐことが可能です。サイトを24時間監視し、異常を検知した時点で即座に対応できる仕組みの導入が、事業継続の観点からも重要です。

ALSOKがおすすめするサービス

ALSOKではWebスキミングへの対策として以下のサービスを提供しています。

ホームページ改ざん対策サービス

ECサイトを運営する事業者の方に特におすすめなのが、「ALSOK ホームページ改ざん検知・復旧サービス」です。本サービスはWebサイトを24時間365日監視し、改ざん発生後0.1秒未満で検知・復旧する仕組みを備えています。万一、ECサイトに不正スクリプトが仕込まれた場合でも瞬時に対応できるため、被害の最小化に役立ちます。運用管理はALSOKがサポートするので、専任担当者がいない企業でも安心して導入いただけます。

よくある質問（FAQ）

Q. Webスキミングとフィッシング詐欺はどう違うのですか？

フィッシング詐欺は偽サイトへ利用者を誘導し、そこで情報を入力させる手口です。URLや見た目を注意深く確認すれば、ある程度見分けられる場合があります。一方、Webスキミングは本物の正規サイトが改ざんされているため、URLも決済画面も一見して正常に見えます。利用者が偽サイトを見抜く余地がほぼなく、検知が特に難しい点がWebスキミングの大きな特徴です。

Q. カード情報を「非保持化」しているECサイトでも被害に遭いますか？

はい、被害に遭う可能性があります。非保持化はカード情報をECサイトのサーバーに蓄積しない仕組みですが、Webスキミングは利用者がブラウザ上でカード情報を「入力する瞬間」に情報を盗み取ります。サーバーへの保存前に情報が抜き取られるため、非保持化だけでは対策として不十分です。PCI DSS v4.0でもWebスキミング対策が新たに要件化された背景には、こうした実態があります。

Q. 外部サービスを使っているだけでも攻撃を受けますか？

はい、ECサイト本体に問題がなくても、組み込んでいる広告・アクセス解析などの外部サービスが攻撃された場合、そのスクリプトを通じてWebスキミングの被害を受けることがあります。外部サービス経由の攻撃はECサイト側のWAFや改ざん検知では検出しにくく、アクセスログにも痕跡が残りにくいため、利用する外部サービスの洗い出しと継続的な監視が重要です。

Q. 利用者がWebスキミングの被害に気づくにはどうすればよいですか？

Webスキミングはリアルタイムで察知するのが難しいため、「被害後に早く気づく」ことが大切です。具体的には、①クレジットカードの利用明細をこまめに確認する、②カード会社の利用通知サービスを有効にしておく、の2点が有効です。少額の不正利用は見逃しやすいため、明細は金額の大小に関係なく確認する習慣をつけましょう。不審な利用を発見したら、すぐにカード会社へ連絡してください。

まとめ