ウェブスキミング

掲載:2024年03月15日

用語集

「ウェブスキミング」とは、ECサイトや金融機関などのウェブサイトなどに不正なスクリプトを埋め込み、クレジットカード情報や個人情報などを盗み取るサイバー攻撃です。2023年11月にはウェブスキミングの容疑で日本初の逮捕者が出るなど、オンラインショッピングやオンラインバンキングが広がる現代においてウェブスキミングは脅威となっています。

         

ウェブスキミングの手口

そもそも「スキミング」とは、クレジットカード情報などを盗み出して不正利用する犯罪を指します。

従来のスキミングは、ATMや店舗のカードリーダーなどに不正な機器を取り付け、物理的にカードの磁気ストライプの情報を盗み取っていました。一方、ウェブスキミングは、この手法をデジタル化してウェブ上で実行するサイバー攻撃です。

ウェブスキミングの攻撃者は、セキュリティが脆弱なECサイトなどを見つけ出し、サイト上に不正なスクリプト、簡易的な悪意のあるプログラムを埋め込みます。ユーザーがサイトを訪れ、例えば商品を購入するためにクレジットカード情報を入力すると、スクリプトが動作して攻撃者にも情報が送信されるという手口が一般的です。

また、ECサイトなどに直接攻撃を仕掛けるのではなく、こうした企業に広告や配信などの外部サービスを提供するサイトにスクリプトを埋め込むケースもあります。サービスを利用するサイトは気づかない間に不正なスクリプトを読み込んでしまい、複数のECサイトなどにまたがって被害が拡大します。

ウェブスキミングの脅威

ウェブスキミングの最大の脅威は、ユーザーが被害に気づきにくい点です。

ウェブスキミングと同じく、クレジットカード情報や個人情報を盗み出す手口にフィッシング詐欺があります。フィッシング詐欺の場合は、警戒心を持っていれば、メールの明らかな誤字脱字や不自然なURLなどで見分けることが可能です。

一方、ウェブスキミングは正規のウェブサイトに不正なスクリプトが埋め込まれるため、外見上の異常は見られません。そのため、セキュリティが確保されていると疑わずにクレジットカード情報や個人情報を入力してしまう人が大半でしょう。結果、知らぬ間に情報が盗まれ、不正利用されて初めて気づくことになります。

ウェブスキミングへの対策方法

ここまで見てきたように、ユーザーがウェブスキミングを事前に検知することは非常に困難です。そのため、サイト管理者による、ウェブサイトとその利用者を守る対策が求められます。

管理者は、以下のような対策によって、攻撃者の侵入や不正なスクリプトの埋め込みを防ぐことが可能です。

  • 定期的なセキュリティパッチ適用
  • 不正アクセスを検知するシステムの導入
  • セキュアコーディングの徹底
  • コンテンツセキュリティポリシー(CSP)の設定

一度でも情報流出を発生させてしまうと、被害者への賠償やサービスの信頼低下などの損害を被るリスクがあります。サイト管理者はウェブスキミング対策を怠らないことが重要です。

また、ユーザー側では以下のような対策により、クレジットカード情報が盗まれてしまった場合の不正利用を防止・検知できます。

  • 二要素認証の利用
  • クレジットカードの利用通知サービスの活用
  • クレジットカードの利用明細の定期的なチェック

ウェブスキミングはユーザーの警戒心をすり抜ける非常にやっかいな攻撃です。サイト管理者、ユーザーともに適切な対策で被害を防ぎましょう。