「Webスキミングとはどういう攻撃だろうか」
そんな方に向けて、当記事ではWebスキミングの仕組みや対策を解説します。Webスキミングはユーザーが入力した個人情報を盗む攻撃です。被害の影響は大きく、買い物をしたユーザーはもちろんECサイトを運営する企業にも及びます。
当記事で解説する対策を参考にWebスキミングの被害を防ぎましょう。
そもそも「Webスキミング」とは
Webスキミングはユーザーの個人情報を盗む攻撃です。本項ではWebスキミングの基礎知識、また「Webスキミング」と「スキミング」の違いを解説します。
Webスキミングの基礎知識
Webスキミングはユーザーがオンライン上で入力した個人情報を盗む攻撃です。
ユーザーがクレジットカード情報を入力するオンラインショッピングのサイト(ECサイト)がWebスキミングの主な攻撃対象です。攻撃者はECサイトの脆弱性を突き、Webスキミングをするためのプログラムを仕込みます。ユーザーは一見、普通にオンラインで買い物をしているだけで、いつもの通りクレジットカード情報を入力します。しかし、その際に仕掛けられているプログラムが作動し、クレジットカード情報が攻撃者の手に渡ってしまう仕組みです。
場合によってはクレジットカード情報が盗まれても、ユーザーは盗まれていることに気が付きません。気付かない間にクレジットカードが悪用され、利用明細が届くことでようやくユーザーが被害に気が付きます。
被害が出ないよう、ECサイトの運営者は脆弱性を塞いでWebスキミングを仕掛けられないよう対策する必要があります。
一般的な「スキミング」との違い
一般的な「スキミング」はクレジットカードの磁気情報を盗む手法です。攻撃者は磁気情報をもとに偽造クレジットカードを作って、悪用します。偽造クレジットカードでの買い物で本物のクレジットカードのユーザーに請求が届いてしまい、被害に気が付く流れです。
まとめるとスキミングは物理的なクレジットカードから情報を盗みます。一方でWebスキミングはオンライン上でユーザーの情報を盗み、その情報を用いて悪用する攻撃です。
知っておきたいWebスキミングの仕組みと手口
Webスキミングの仕組みと手口について、以下の2パターンを解説します。
- ECサイトの改ざんによる不正なスクリプトの埋め込み
- ECサイトの外部サービスへの不正スクリプトの埋め込み
ECサイトの改ざんによる不正なスクリプトの埋め込み
Webスキミングの仕組みの1つがECサイト自体が改ざんされてしまう手口です。
ECサイトに不正アクセスをした攻撃者が、ECサイトを改ざんし、不正スクリプトを埋め込みます。この手口はユーザーが気が付きにくいことが厄介なポイントです。なぜならECサイトのユーザーは一見、問題なく買い物ができてしまうからです。しかし、買い物で入力した個人情報が不正スクリプトによって攻撃者の手に渡ってしまい、知らず知らずのうちに個人情報が流出する恐ろしい攻撃です。
ECサイト自体が改ざんされてしまうと、ユーザーは気が付かずにWebスキミングされてしまいます。
ECサイトの外部サービスへの不正スクリプトの埋め込み
Webスキミングの仕組みとしてECサイトの外部サービスに不正スクリプトが埋め込まれるケースがあります。
ECサイトの外部サービスとして、認証や広告などがあります。このケースは、広告などの外部サービスに不正アクセスをした攻撃者が不正スクリプトを埋め込むことで、Webスキミングの被害が発生するという仕組みです。こちらの手口もユーザーは一見、単に買い物をするだけなので気が付きにくいです。
2つの手口から、WebスキミングはECサイトや関連サービスが狙われやすいことが分かります。
Webスキミングによって引き起こされる被害
Webスキミングによって引き起こされる被害は以下があります。
- ユーザー
- 個人情報の漏えい
- クレジットカードの不正利用
- 企業
- ECサイトや提供サービスの復旧対応
- ユーザーへのアフターケア
- 信頼の失墜
まずユーザーは名前や住所、クレジットカードの情報などの個人情報が漏えいします。特にクレジットカードの情報が盗まれてしまうと、不正利用につながり、金銭的な被害も生まれる可能性が高いです。ユーザーは単にECサイトで買い物をするだけで被害に巻き込まれてしまいます。
一方で企業にも影響を及ぼします。まず改ざんされたECサイトや提供サービスの復旧対応が必要です。被害を確認し、復旧対応をしている間はECサイトを閉鎖する必要があるでしょう。ECサイトの閉鎖は機会損失になります。加えて被害を受けたユーザーへのアフターケアも必要になるでしょう。
また企業は不正アクセスをされ、サイトの改ざんをされた被害者ですが、サービス提供者の立場からは、信頼の失墜につながります。ユーザーは企業のECサイトを信頼して買い物をするだけです。それでも被害につながるとなれば「あの企業のセキュリティは不安だ」とユーザーに不信感を与えてしまいます。
Webスキミングの被害を防ぐための対策
Webスキミングの被害を防ぐための対策として以下があります。
- ログのこまめな監視
- セキュリティパッチの適用
- 多要素認証の活用
- 検知システムの導入
- 疑問が生じた場合の迅速な連絡の徹底
ログのこまめな監視
ログのこまめな監視によってWebスキミングの対策を防げる可能性があります。
ログをこまめに監視することで、ユーザーの不審な挙動や不正アクセスの予兆を検知できる可能性があるためです。Webスキミングは不正スクリプトが仕込まれることで被害が発生します。そのため、不正スクリプトを仕込まれる段階で検知できることが望ましいです。
最低でも不正スクリプトの実行時には被害に気が付けるように対策しておきましょう。1件の被害は出てしまいますが、以降の被害拡大を防げます。
四六時中ログを監視することは現実的ではありませんが、ログ監視ツールの導入などで、異常発生時にはアラートを発するようにしておきましょう。
セキュリティパッチの適用
セキュリティパッチの適用もWebスキミングの被害を防ぐために有効です。
先述したように、WebスキミングはECサイトや外部サービスに不正アクセスをすることで不正スクリプトが仕込まれます。不正アクセスはセキュリティの脆弱性を突いて行われるケースが大半です。よってセキュリティの脆弱性を塞げるよう、セキュリティパッチを適用すると、不正アクセスの可能性を低減できます。
ECサイトの運用ツールはもちろん、OSやネットワーク機器のセキュリティパッチも忘れずに適用しておきましょう。
多要素認証の活用
多要素認証の活用もWebスキミングの対策として有効です。
ECサイトや外部サービスを提供する企業が、管理画面への多要素認証を設定しておくと、不正アクセス時の対策になります。多要素認証があると、管理画面に入りにくくなり、改ざんを防げる可能性が高くなるためです。
また多要素認証はユーザー側にもメリットがあります。買い物をする際に多要素認証があれば、個人情報が漏えいした後でも不正な買い物を防げる可能性があります。
多要素認証の活用は企業側にもユーザー側にもメリットがあるWebスキミング対策です。
検知システムの導入
検知システムの導入もWebスキミングの被害を防げる可能性があります。
検知システムはECサイトや提供するサービスをリアルタイムで監視し、不正アクセスがあった際にアラートを発するシステムです。例としてWAFやIDSがあります。検知システムを導入しておき、アラートを発した際に迅速に対応できればWebスキミングの被害を防げる可能性が高いです。
不正アクセスかどうかの検出率は検知システムの仕組みによって異なります。一概に比較は難しいですが、検知システムの導入自体は検討すべきです。
疑問が生じた場合の迅速な連絡の徹底
疑問が生じた場合に迅速な連絡を徹底できるよう、ルールを整えておくことも、Webスキミングの被害拡大防止につながります。
監視やログのチェックを行っていると「これは不正アクセスかもしれない」と疑う場面があります。不正アクセスだと確信できない場合でも、社内に共有し、対策できるように社内ルールを整備しておくことが必要です。仮に不正アクセスでなくても知見が蓄積され、不正アクセスであれば被害を防ぐことにつながります。
疑問に思えば、迅速にセキュリティ管理者や周囲のメンバーに共有できるよう、ルールを整備しておきましょう。
2023年に初摘発となった「Webスキミング」から学ぶこと
2023年11月15日、新聞やテレビなど主要メディアに、一斉に「Webスキミング」の文字がおどりました。
「Webスキミング」初摘発、クレカ情報入手容疑で自称「恒心教」の男逮捕…公式サイトに不正プログラム:読売新聞
Webスキミングを防ぐために、そのとっかかりとなるWebアプリケーションの脆弱性診断を20年近くの長きにわたり提供している弊社では、「なぜ今更、Webスキミングがニュースになるのか?」と大いに疑問を抱いたのですが、これら記事のポイントは、「初摘発」であるということです。恐らく、「初摘発」した警察が「お手柄」として、主要メディアに発表したのでしょう。だとすると、「これまでWebスキミングが誰も摘発されていなかった。」ということになります。
ところが、本件記事の内容をみると、さらに驚いたのがその被害内容です。通販サイトの脆弱性をついて、不正プログラムを仕掛け、クレジットカード情報を詐取したことで、不正指令電磁的記録供用と割賦販売法違反で逮捕されたのですが、その逮捕容疑となった詐取されたカード情報は、わずか3名分とのことです。
この容疑からして、カードの不正利用による実被害はゼロ、つまり未然に防いだ、ということなのでしょうが、これまでのWebスキミングによるカード情報の詐取と不正利用の被害額からすれば、この記事は、ようやくWebスキミング犯罪者を捕まえた、という喜びと、今後の同種犯罪の抑止を目的にした発表だったと見ることができます。
ただ、この記事から学ぶべきは、逆の意味でしょう。
- Webスキミング犯罪は、非常につかまりにくい、犯人にとって安全な犯罪である。
- 今後もこのような「安全な」サイバー犯罪は増えていくと想像がつく。
Webスキミング対策でも、このようなWebアプリケーションの脆弱性をついた攻撃に対しては、脆弱性の定期的なチェックとソースの改修、またWAF(Web Application Firewall)による不正アクセスのブロックという形でかなり対策法も確立、普及してきていますが、もう1つのWebスキミング手法、決済用のWebページに含まれる第三者提供のJavaScriptの改ざんによるカード情報や個人情報の詐取は、WAFでも防ぐことができずはるかに厄介なのです。
SCT SECURE クラウドスキャンで定期的な脆弱性診断を
Webスキミングの主な原因は不正アクセスによるECサイトや外部サービスの改ざんであることを解説しました。そして、不正アクセスの主な原因はセキュリティの脆弱性を突かれてしまうことです。よって脆弱性を塞いでおくことがWebスキミングの根本的な対策となります。
弊社が提供するSCT SECURE クラウドスキャンを用いることで、定期的な脆弱性診断が可能です。本サービスの特徴として以下があります。
- クラウド型で簡単に導入できる
- スケジュールをセットしておくだけで自動的に診断できる
- クレジットカード業界のセキュリティ標準であるPCI DSSに準拠している
- レポート機能で視覚的に分かりやすく結果を出力できる
Webスキミングの被害は金銭的なものだけでなく、企業の信頼失墜やアフターフォローの対応など多岐に渡ります。被害を事前に防げるよう脆弱性診断を実施して、塞いでおきましょう。
下記URLから本サービスを用いた無料簡易リスク診断が可能です。
https://product.sct.co.jp/product/security/trial
まとめ
WebスキミングはECサイトや外部サービスを改ざんし、ユーザーの個人情報を盗む攻撃です。Webスキミングの攻撃を許すと、金銭的な被害はもちろん、企業は社会的な信頼を失う事態にまで発展する可能性があります。
今後もフィッシングサイトへの誘導と並んで、ますます増加すると見込まれるWebスキミングに対して警察の調査と摘発を期待する前に、自ら対策を講じていくようにしましょう。
弊社では、Webスキミング対策として、脆弱性診断、WAF、JavaScript改ざん対策をご提供しております。
ご興味のある方は、ぜひ下記よりご覧ください。
【ウェブスキミング対策ソリューションについて】
脆弱性診断の詳細はこちら
WAFの詳細はこちら
JavaScript改ざん対策の詳細はこちら
