フォーム・ジャッキング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. フォーム・ジャッキング
             

フォーム・ジャッキング

フォーム・ジャッキング(Formjacking) は、Webサイトの入力フォームに対して悪意あるコードを挿入し、ユーザーが入力した個人情報やクレジットカード情報などを盗み出すサイバー攻撃の一種です。フォーム・ジャッキングは、特にECサイトやオンライン決済フォームを標的にし、ユーザーが入力したデータを攻撃者のサーバーに転送することで、情報を不正に取得します。

攻撃者は、Webサイトに侵入してJavaScriptなどのスクリプトを仕込み、ユーザーが意図せずに入力したデータが攻撃者の手に渡るようにします。フォーム・ジャッキングは、正規のWebサイトを利用した攻撃手法であり、利用者がWebサイトの改ざんに気付きにくいため、非常にリスクが高いとされています。攻撃の被害は大規模な情報漏洩や金融詐欺に発展することが多く、企業や消費者にとって重大な脅威です。

フォーム・ジャッキングの仕組み

フォーム・ジャッキングは、攻撃者がWebサイトに悪意のあるスクリプトを挿入し、ユーザーが入力フォームに入力した情報を横取りする仕組みです。以下のようなプロセスで実行されます。

1. サイトの脆弱性を悪用

攻撃者は、ターゲットとなるWebサイトに侵入するため、脆弱性を探します。脆弱なプラグインや古いソフトウェア、設定ミスがあるWebサーバーにアクセスすることで、不正スクリプトを埋め込む隙を見つけ出します。

2. 悪意のあるスクリプトの挿入

Webサイトが改ざんされると、攻撃者はJavaScriptなどのスクリプトをフォームのコード内に追加します。このスクリプトは、ユーザーが入力した情報を攻撃者が指定した外部サーバーに送信するように設定されています。

3. ユーザーが情報を入力

改ざんされたサイトに訪問したユーザーは、通常どおり商品を購入したり、サービスを利用したりするためにクレジットカード情報や住所などの情報をフォームに入力します。

4. データの窃取

ユーザーが入力を完了して「送信」ボタンを押すと、正規のサーバーだけでなく、攻撃者のサーバーにも同じ情報が送信されます。このため、ユーザーが知らない間に個人情報やクレジットカード情報が盗まれてしまいます。

フォーム・ジャッキングの被害例

フォーム・ジャッキングは、多くの大手ECサイトやサービスで報告されているサイバー攻撃です。以下は、代表的な被害例です。

  • クレジットカード情報の窃取:有名なECサイトにてフォーム・ジャッキングにより数百万件のクレジットカード情報が盗まれ、被害者は不正利用による金銭的損害を受けました。
  • 個人情報の漏洩:ホテル予約サイトにてフォーム・ジャッキングが仕掛けられ、名前、住所、電話番号、クレジットカード情報といった個人情報が多数盗まれました。
  • Magecartの攻撃:「Magecart」と呼ばれる攻撃グループが、さまざまなECサイトや決済システムに対してフォーム・ジャッキングを行い、世界中で大規模なクレジットカード情報の流出を引き起こしました。

フォーム・ジャッキングに対する対策方法

フォーム・ジャッキングの被害を防ぐためには、Webサイトやシステムのセキュリティ対策を強化することが重要です。以下は、フォーム・ジャッキング対策に効果的な方法です。

1. Webアプリケーションファイアウォール(WAF)の導入

WAFを導入することで、Webアプリケーションに対する不正アクセスやスクリプト挿入を防止します。WAFは、リアルタイムで悪意あるリクエストを検出・ブロックするため、フォーム・ジャッキングを防ぐための有効な手段です。

2. サプライチェーンセキュリティの強化

Webサイトが利用するサードパーティのプラグインやライブラリを最新バージョンに保ち、信頼できるソースからのみインストールすることで、外部からの攻撃リスクを低減します。

3. サイトコンテンツの定期監視

Webサイトのコードやコンテンツを定期的に監視し、改ざんの兆候がないかをチェックします。監視ツールや改ざん検知ツールを導入することで、異常なスクリプトの挿入を素早く発見し、被害の拡大を防止できます。

4. コンテンツセキュリティポリシー(CSP)の設定

CSPを設定することで、Webサイト内で実行できるスクリプトのソースを制限できます。これにより、外部サーバーへのデータ送信を防ぎ、攻撃者が挿入した悪意あるスクリプトが機能しないようにできます。

5. HTTPSの徹底とTLSの適用

Webサイト全体でHTTPSを使用し、通信の暗号化を徹底することで、中間者攻撃による改ざんを防ぎます。また、TLSの最新バージョンを使用することで、データの安全性を向上させます。

フォーム・ジャッキングと他の攻撃手法との比較

攻撃手法 概要 目的 対策例
フォーム・ジャッキング Webサイトの入力フォームに悪意のあるスクリプトを挿入し情報を窃取 個人情報、クレジットカード情報の窃取 WAF導入、CSP設定、サイト監視
フィッシング 偽のWebサイトやメールでユーザーをだまして情報を入力させる パスワードや個人情報の窃取 フィルタリング、認証強化
クロスサイトスクリプティング(XSS) Webページに悪意のあるスクリプトを仕込み、ユーザーの操作を盗み見る Cookieやセッション情報の窃取 WAF、CSP設定、エンコード
SQLインジェクション SQLクエリに不正コードを埋め込み、データベースへの不正アクセスを行う データの窃取、データベースの改ざん 入力検証、パラメータ化クエリ、WAF導入

まとめ

フォーム・ジャッキング(Formjacking) は、Webサイトの入力フォームに悪意のあるスクリプトを挿入することで、ユーザーの個人情報やクレジットカード情報を盗み取るサイバー攻撃です。特に、ECサイトやオンライン決済フォームを標的とし、利用者が知らない間にデータを不正取得するため、利用者や企業のリスクが非常に高いです。

この攻撃に対抗するためには、Webアプリケーションファイアウォール(WAF)の導入やサプライチェーンセキュリティの強化、サイトコンテンツの監視、CSPの設定など、多層的なセキュリティ対策が必要です。フォーム・ジャッキングは、セキュリティ対策の甘いWebサイトを狙いやすいため、企業やWebサイト運営者は常に最新のセキュリティ対策を施し、リスクを最小限に抑えることが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。