「ウェブスキミングで初摘発」のニュースから学ぶべき、本当のこととは？

2023.11.20 三和コムテック

今月11月15日、新聞やテレビなど主要メディアに、一斉に「ウェブスキミング」の文字がおどりましたが
お気づきになられたでしょうか？　

ウェブスキミングを防ぐために、そのとっかかりとなるWebアプリケーションの脆弱性診断を長年（２０年近く）提供している弊社では、「なぜ（今更）、ウェブスキミングがニュースになるのか？」と大いに疑問を抱いたのですが、よく見ると、これら記事のポイントは、「初摘発」にあったのです。恐らく、「初摘発」した警察が言わば「お手柄」として、自慢げに（！？）主要メディアに発表したと思われます。だとすると、「これまでウェブスキミングが誰も摘発されていなかった。」ということになりますが、これは驚きです。

ところが、本件記事の内容をみると、さらに驚いたのがその被害内容です。通販サイトの脆弱性をついて
不正プログラムを仕掛け、クレジットカード情報を詐取したことで、不正指令電磁的記録供用と割賦販売法違反で逮捕されたのですが、その逮捕容疑となった詐取されたカード情報は、わずか３名分とのことです。

この容疑からして、カードの不正利用による実被害はゼロ、つまり未然に防いだ、ということなのでしょうが、これまでのウェブスキミングによるカード情報の詐取と不正利用の被害額からすれば、今回の記事は、漸くウェブスキミング犯罪者を捕まえた、という喜びと、今後の同種犯罪の抑止を目的にした発表だったとみることができます。

ただ、この記事から学ぶべきは、逆の意味ではないかと思います。
１）ウェブスキミング犯罪は、非常につかまりにくい、犯人にとって安全な犯罪である。
２）今後もこのような「安全な」サイバー犯罪は増えていくと想像がつく。

ウェブスキミング対策でも、今回のようなWebアプリケーションの脆弱性をついた攻撃に対しては、
脆弱性の定期的なチェックとソースの改修、またWAF（Web Application Firewall）による不正アクセスのブロックという形でかなり対策法も確立、普及してきていますが、もう一つのウェブスキミング手法、決済用のWEBページに含まれる第三者提供のJavaScriptの改ざんによるカード情報や個人情報の詐取は、WAFでも防ぐことが出来ず遥かに厄介なのです。

今後もフィッシングサイトへの誘導と並んで、ますます増加すると見込まれるウェブスキミングに対して
警察の調査と摘発を期待する前に、自ら対策を講じていくようにしましょう。

弊社では、ウェブスキミング対策として、脆弱性診断、WAF、JavaScript改ざん対策をご提供しております。
ご興味のある方は、是非下記よりご覧ください。

【ウェブスキミング対策ソリューションについて】
脆弱性診断の詳細はこちら
 WAFの詳細はこちら
 JavaScript改ざん対策の詳細はこちら