フォームジャッキング攻撃は、セキュリティ対策の甘いECサイトなどが狙われます。情報を盗み出すまでの流れは以下のとおりです。

• 脆弱なサイトの特定：攻撃者はセキュリティ対策が脆弱なECサイトなどを特定
• サイトの改ざん：脆弱性を利用してサイトに不正アクセスし、入力フォームに悪意のあるスクリプトを埋め込む
• 情報の収集：サイト利用者がフォームに入力した情報を、スクリプトが秘密裏に攻撃者へ送信

このように、フォームジャッキング攻撃は正規のサイトを舞台に、不審な動作もなく実行されます。そのため、利用者が注意しても回避が難しい攻撃といえるでしょう。

フォームジャッキング攻撃に対しては、サイト運営者による以下のような対策が有効です。

• サイトの脆弱性を定期的にチェックし、迅速に対処
• サイトの管理画面への不正アクセス対策を強化
• サイトの管理画面のURLを推測されにくい文字列にする
• WAF（Web Application Firewall）の導入による攻撃の監視と防御

ひとたび情報流出を引き起こせば、サイトの信用が低下し、サービスの存続が危うくなる可能性もあります。上記のような適切なセキュリティ対策により、サイト利用者をフォームジャッキング攻撃から守ることが大切です。