サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

WEBスキミングとは?仕組みや危険性、対策方法について徹底解説

  • LINEで送る

気軽に利用できるECサイトですが、サイバー攻撃が後を絶ちません。ECサイト自体の脆弱性を悪用した攻撃に対しては、利用者が対策を取ることは難しく、ECサイト運営側の対策が必要不可欠です。

今回紹介する「WEBスキミング」は、ECサイトなどのWebアプリケーションを改ざんして、利用者のクレジットカード番号などを盗む攻撃です。それではWEBスキミングの仕組みは危険性、そして具体的な対策方法について見ていきましょう。

WEBスキミングとは

WEBスキミングとは、ECサイト上に不正なプログラムを埋め込んで、利用者が入力したクレジットカード番号や個人情報を窃取する攻撃手法です。

もともとスキミングとは、クレジットカードに書き込まれている磁気情報を読み取り、クレジットカードを偽造して悪用する攻撃のことを指しています。このスキミングに近い攻撃をWEB上で行うことから、WEBスキミングと呼んでいるわけです。

WEBスキミングの仕組み

WEBスキミングには、大きく分けて2つに仕組みに分類できます。1つ目は攻撃者がECサイトを改ざんして、決済ページに不正なプログラムを挿入する方法です。2つ目は配信サービスに不正なコードを仕込んで、ECサイトに配信する方法です。

ECサイトを改ざんし決済ページに不正なプログラムを挿入

攻撃者は、ECサイトが動作しているWebサーバーに何らかの方法で侵入します。そして決済で使われているJavaScriptコードを改ざんして、Webスキミング用のコードを挿入します。

改ざんされたECサイトに利用者が訪問して、商品を購入して決済をします。この時、すでに決済画面にはWEBスキミング用のコードが仕込まれています。そのため利用者が決済画面で入力したクレジットカード番号は、WEBスキミング用のコードの動作によって、攻撃者のところへと送信されてしまいます。

この1つ目のWebスキミングは、ECサイトを改ざんすることで成立する攻撃手法です。この手法では、ターゲットにするECサイトごとに、挿入するWebスキミング用のコードの使い分けることができるため、窃取する情報の狙い撃ちが容易です。

配信サービスに不正なコードを仕込んでECサイトに配信

攻撃者はサードパーティの配信サービスなど侵入して、不正なコードを仕込みます。配信サービスを利用しているECサイトは、配信サービスから不正なコードが仕込まれたJavaScriptをダウンロードして、決済画面などで動作させます。利用者は決済画面でクレジットカード番号などを入力して決済を行います。決済が実行されると、不正なコードが動作して、利用者が入力したクレジットカード番号が攻撃者へと直接送信されます。

配信サービスでは通常複数のECサイトへコードを配信しているため、攻撃者は1回の改ざんで、複数のECサイトにWebスキミングを仕掛けることができます。

さらに、この方法ではECサイトを直接改ざんする必要がありません。そのためECサイトの運営者がWEBスキミング攻撃にさらされていることに気づくのは困難です。ただしこの方法の場合、1つの不正なコードを複数のECサイトで使いまわすため、ECサイトの環境によっては、WEBスキミングが成功しない可能性もあります。

WEBスキミングの危険性

WEBスキミングが仕掛けられた場合、以下の3つの危険性に注意しなければなりません。

自社サイトを保護するWAFでは防げない

WEBスキミングの仕組みで紹介した2つ目の攻撃手法の場合、Webサーバーに直接侵入するわけではないため、Web Application Firewall(WAF)の機能で防ぐことは困難です。ECサイト側でWAFを導入しても、実際に攻撃者が侵入するのは、サードバーティーの配信サービスです。そのためECサイト側でWAFを導入しても、被害を抑制させることはできません。

攻撃の通信はサイトに残らない

WEBスキミングの2つ目の攻撃手法の場合、攻撃者の通信のログはECサイト側には一切残りません。1つ目の危険性で紹介したように、攻撃者が攻撃を仕掛けるのは、サードパーティ―の配信サービスです。そのためECサイト上のアクセスログには攻撃者の通信は一切記録されません。

顧客側PCで対策されている保証はない

WEBスキミングで使われる不正なコードはマルウェアではないため、顧客側PCでセキュリティ対策ソフトなどを導入しても、対策することにはなりません。またWEBスキミングのコードはECサイトの決済画面のバックグラウンドで動作するJavaScriptプログラムであるため、顧客が決済画面の見た目で何か不審な点を発見することは困難です。

WEBスキミングの対策(ECサイト側)

WEBスキミングの対策としてECサイト側ができることは以下の3つです。

セキュリティ対策がなされた決済システムを使用する

十分なセキュリティ対策がなされた決済システムを使用することで、WEBスキミングの対策となります。特にECサイトを運営しているWebサーバーのミドルウェアやソフトウェアを適切にアップデートすることで、WebサーバーやECサイトの脆弱性を防ぐことができ、攻撃者がWebサーバーに侵入するのを防ぐことができます。

管理者アカウントの認証を強化(パスワード・二要素認証など)

WebサーバーやECサイトの管理プログラムへの不正なアクセスを防ぐために、ログイン認証の強化が不可欠です。パスワードは十分に複雑なものを設定して、他のWebサイトとの使いまわしは控えましょう。また二要素認証が設定可能な場合は、できるだけ二要素認証を使うようにしましょう。

ログ監視

Webサーバーに対するアクセスやログイン試行のログ監視も重要です。例えば攻撃者がWebサーバーに侵入しようとする場合、大量のログイン失敗のログが記録されることがあります。このような不審なログの記録と監視により、不正アクセスの兆候をつかむことができます。

まとめ

WEBスキミングはECサイトをターゲットにした悪質なサイバー攻撃です。特にサードパーティの配信サービスなどを使ったWEBスキミングの対策は非常に難しく、実際に多くの被害が発生しています。しかしセキュリティ対策企業の中には、高度化するWEBスキミングへの対策をうたうサービスを展開している企業もあります。

またECサイトで使用するJavaScriptファイルの整理なども有効です。WEBスキミングの対策を一本化することは、なかなか難しいですが、有効な対策を組み合わせて隙を作らないことが、現状では最大の対策と言えるでしょう。

  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。