Webスキミングとは?ECサイト運営に必要なセキュリティと知識

Webスキミングとは?ECサイト運営に必要なセキュリティと知識

はじめまして。株式会社セキュアスカイ・テクノロジーの西尾です。普段は脆弱性診断を業務としながら、サイバー攻撃の動向調査も行っています。今回はECサイトを狙った最近の攻撃動向と対策についてやさしく解説していきます。

第一回は、ここ数年国内ECサイトでクレジットカード情報の漏えい事件を引き起こしている「Webスキミング※1」の概要と対策についてお伝えします。

1. Webスキミングの概要と特徴

近年、国内ECサイトでクレジットカード情報の漏えい事件が多発しています。漏えいには様々な原因がありますが、最近は「Webスキミング」という攻撃が猛威を振るっています。

Webスキミング(Web skimming)とは、クレジットカード情報を盗み読むスキミング行為をWeb上で行う攻撃です。具体的には、ECサイトの決済画面を改ざんして不正なスクリプトを埋め込み、サイト利用者がフォームに入力したクレジットカード情報を秘密裏に窃取します。

Webスキミングとは、クレジットカード情報を盗み読むスキミング行為をWeb上で行う攻撃です


Webスキミングの大きな特徴は、サイト利用者がフォームに入力した時点でデータを窃取する点です。

従来のような、一度の攻撃でデータベースから直接的にデータを盗むことが可能な「SQLインジェクション※2」などとは異なり、長期間に渡って少しずつ盗んでいきます。フォームに入力されたデータを窃取するため、クレジットカードのセキュリティコードまで漏えいすることが特徴的です。クレジットカード情報だけではなく、メールアドレスや配送先住所など、個人情報も漏えいする可能性があります。

2018年6月に施行された改正割賦販売法への対応として、多くのECサイトがクレジットカード情報の非保持化を行っていると思います。しかし、非保持化だけではWebスキミングを防ぐことはできません。

例えば、外部の決済代行事業者のサイトで決済を行うリンク(リダイレクト)型の場合、攻撃者が作成した偽の決済画面へ誘導することで、クレジットカード情報を窃取します。偽の決済画面は本物そっくりに作られているため、見分けがつきにくいです。

webスキミング、リダイレクト型の場合


クレジットカード番号を別の文字列(トークン)に置き換えて決済を行うトークン型の場合は、正規の決済画面を直接改ざんし、入力されたクレジットカード情報をそのまま攻撃者に送信するようにします。決済画面のURLと見た目は正規のままで、決済処理も正常に行われるため、サイト利用者は違和感を覚えることができません。
webスキミング、トークン型の場合
このような手口を用いることで、たとえECサイト側でクレジットカード情報を保持していなくても、漏えい被害が発生してしまいます。また、攻撃者はサイト利用者やECサイト運営者に気づかれないように様々な工夫を行うことで、長期間に渡ってクレジットカード情報を窃取していきます。

2. 国内のWebスキミング被害の状況

では実際に、国内ではどれだけのECサイトがWebスキミング被害に遭っているのでしょうか。

筆者が独自に調査をしたところ、2020年上半期に被害を公表したECサイトは14サイト見つかりました。クレジットカード情報の漏えい件数は、合計で約1万1千件になります。

ただしこれは氷山の一角であって、被害を公表していないサイトや、現時点で攻撃に気づいていないサイトが多く存在していると思われます。また、7月以降も新たな被害の報告が続いています。

国内のWebスキミング被害の状況


上表の「改ざん期間」というのは、ECサイトが改ざんされていた期間のことで、この期間に商品を購入した利用者のクレジットカード情報が漏えいしています。

改ざん期間は数日のサイトもあれば、半年以上続いているサイトもあり、改ざん期間が長いサイトほどクレジットカード情報の漏えい件数が多いことが分かります。ただし、サイト利用者が多いECサイトの場合は、改ざん期間が短くても大きな被害が発生します。

例えば、2019年5月に被害を公表した「ヤマダウェブコム・ヤマダモール」の場合、改ざん期間が約1ヶ月と比較的短かったのですが、3万7千件以上のクレジットカード情報が漏えいしています。

また、大半の被害サイトはWeb改ざんを自力で発見したわけではなく、クレジットカード会社や警察などの外部から連絡を受けてWeb改ざんが発覚しています。つまり、漏えいしたクレジットカード情報が実際に悪用されるまで攻撃に気づけないほど、Web改ざんを見つけるのは難しいことが分かります。

被害事例の中には2度のWeb改ざんを受けたECサイトもあります。

例えば「ペットハグサイト」の場合、1度目のWeb改ざんが発覚した際にクレジットカード決済を停止し、ECサイト自体は閉鎖せずに継続しました。その後、原因調査中に2度目の攻撃を受け、偽の決済画面へ誘導するように改ざんされてしまい、再度クレジットカード情報を漏えいしてしまいました。

このように、クレジットカード情報の漏えい事件が発生した場合、クレジットカード決済を停止しただけではWeb改ざんの原因を解消したことにはならないので、Webスキミングを防ぐことはできません。被害の拡大を防止するためには、漏えいの原因を特定・解消するまで、ECサイトを一時的に閉鎖するという厳しい決断も視野に入れましょう。

3. セキュリティ対策の具体例

Webスキミングは1つの対策で防げるものではなく、基本的なセキュリティ対策を積み重ねていくことが重要です。
まずは以下の対策を実施しましょう。

● 使用しているソフトウェアのバージョンをできるだけ最新に保つ
● セキュリティパッチが公開された場合は早めに適用する(脆弱性を放置しない)


また、WordPressやEC-CUBEなどのCMSを利用している場合は、以下の対策も実施しましょう。

● 拡張機能やプラグインを最新の状態に保ち、不要なものは削除する
● 設定ファイルやログファイルに対するアクセス権を適切に設定する(外部からのアクセスは制限されているか?)


Webサイトのセキュリティ対策において最も重要なことは、これらの基本的な対策を継続的に実施していくことです。

サイト構築時は安全であっても、時間経過とともに新しい脆弱性や攻撃手法が発見されていくため、Webサイトの安全性は相対的に低下していきます。そのため、Webサイトの安全性を保つには継続的なセキュリティ対策が不可欠です。

Web改ざんを防ぐためには、管理画面に対する不正アクセスを防ぐことも重要です。具体的には以下のような対策が挙げられます。

● 管理者のログイン画面をインターネット上に公開しない
● 管理画面のログインURLを推測しにくい値に設定する(CMSを利用している場合はデフォルト値から変更する)
● ログインID・パスワードを強固な値に設定する
● 管理者アカウントを共有利用しない
● IP制限やアカウントロック機能を導入し、できればログインを監視する
● 管理者ログインに多要素認証を導入する


以上の基本的なセキュリティ対策を実施した上で、より強固なECサイトを実現したい場合は、以下の対策を検討すると良いでしょう。

● 改ざん検知システム:Web改ざんを早期に発見する
● Webアプリケーションファイアウォール(WAF):Webアプリに対する攻撃を防ぐ
● 脆弱性診断:ECサイトに存在する脆弱性を洗い出す


脆弱性診断に関しては、ECサイトの構築時や改修時にWebアプリ診断を実施するだけではなく、運用開始後も定期的にプラットフォーム診断を行うことが必要です。

ECサイトの開発や運用をアウトソースしている場合は、上記の対策状況や、現在どのようなセキュリティ対策を行っているかを委託先に確認することをお薦めします。

一度漏えい事故が発生してしまうと、損害賠償やサイト改修などの支出、ECサイトを閉鎖することによる機会損失、企業の信用失墜など、大きな損害を受けます。また、クレジットカード会社の審査が通りにくくなり、ECサイトの再開が難しくなる場合もあるため、ECサイト運営者にはセキュリティ意識を高く持っていただければと思います。

Webスキミングを防ぐには多くの対策が必要ですが、まずはできることから実施し、継続的に対策をアップデートしていきましょう。

※1 オンラインスキミング、デジタルスキミング、Eスキミングとも呼ばれている。
※2 Webサイトのお問合せフォームなどに不正な文字列を入力することで、外部からデータベースを不正に操作し、機密情報の取得や改ざんを行う攻撃のこと。

プロフィール
株式会社セキュアスカイ・テクノロジー 技術開発部 福岡ラボ 西尾 祐哉株式会社セキュアスカイ・テクノロジー 技術開発部 福岡ラボ 西尾 祐哉

株式会社セキュアスカイ・テクノロジー 技術開発部 福岡ラボ 西尾 祐哉(にしお ゆうや)

SSTの脆弱性診断の技術者として診断業務を担当。ECサイトに対する攻撃動向などを調査し、プライベートセミナーなどで講演を実施。その他、Internet Week 2018にて、サイバー攻撃者による不正な仮想通貨マイニングの実態について発表。
執筆者ブログ▶ https://techblog.securesky-tech.com/archive/author/swime


ライター紹介ライター紹介

Six commerce編集部

2019年にスタートしたEC特化メディア。昨今のECシステムの様々な情報を発信します!


記事一覧

最短1日で始められる越境EC / ウェブインバウンド対応のススメ

2020.11.27

パスワードリスト攻撃とは?ECサイト運営に必要なセキュリティと知識

2020.11.13

今注目のソーシャルコマースの未来とは?

2020.10.30

Webスキミングとは?ECサイト運営に必要なセキュリティと知識

2020.10.16

顧客とダイレクトに繋がる小売の新時代〜オムニチャネルの行末は

2020.10.02

5分でわかる「ヘッドレスコマース」の概念とメリット

2020.09.18

ニューノーマル時代に求められるラストワンマイル戦略とは?

2020.09.04

サブスクリプションと物流との関係について(未来編)

2020.08.21

サブスクリプションと物流との関係について(実践編)

2020.07.31

サブスクリプションと物流との関係について(概念編)

2020.07.10

「D2C」で成功する秘訣は?成功事例から検証

2020.07.03

コロナ禍で再注目!なぜいま「D2C」が必要なのか

2020.06.26

「サブスク」ってどんなビジネス? サブスクリプションを利用する消費者のインサイトから考える

2020.06.12

MA活用例あり!顧客体験が求められている時代に効果的なECマーケティング施策

2020.05.15

【EC座談会2020】#10 フルフィルメントの重要性 後編

2020.04.17

【EC座談会2020】#9 フルフィルメントの重要性 前編

2020.04.17

【EC座談会2020】#8 フルファネル戦略 データ活用・CRM施策 後編

2020.04.03

【EC座談会2020】#7 フルファネル戦略 データ活用・CRM施策 前編

2020.04.03

【EC座談会2020】#6 フルファネル戦略 新規顧客獲得の為の広告運用の課題と解決策 後編

2020.03.19

【EC座談会2020】#5 フルファネル戦略 顧客獲得の為の広告運用の課題と解決策 前編

2020.03.19

【EC座談会2020】#4 顧客体験の最適化へと導くバックオフィス業務の各機能とデータ連携の重要性

2020.03.06

【EC座談会2020】#3 単品通販事業に必要な機能とツール選定方法

2020.02.21

【EC座談会2020】#2 D2C事業を成功させる、ECシステムの特徴と選定

2020.02.10

【EC座談会2020】#1 年商30億まで成長させた経営者のEC事業計画の秘訣

2020.01.24

【後編】小売業界で勝ち続けるオムニチャネル戦略とは?

2019.11.29

【前編】小売業界で勝ち続けるオムニチャネル戦略とは?

2019.11.29

【後編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

2019.11.29

【前編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

2019.11.29

ECオリジン
最短1日で始められる越境EC / ウェブインバウンド対応のススメ

最短1日で始められる越境EC / ウェブインバウンド対応のススメ

パスワードリスト攻撃とは?ECサイト運営に必要なセキュリティと知識

パスワードリスト攻撃とは?ECサイト運営に必要なセキュリティと知識

今注目のソーシャルコマースの未来とは?

今注目のソーシャルコマースの未来とは?

Webスキミングとは?ECサイト運営に必要なセキュリティと知識

Webスキミングとは?ECサイト運営に必要なセキュリティと知識

顧客とダイレクトに繋がる小売の新時代〜オムニチャネルの行末は

顧客とダイレクトに繋がる小売の新時代〜オムニチャネルの行末は

5分でわかる「ヘッドレスコマース」の概念とメリット

5分でわかる「ヘッドレスコマース」の概念とメリット

ニューノーマル時代に求められるラストワンマイル戦略とは?

ニューノーマル時代に求められるラストワンマイル戦略とは?

サブスクリプションと物流との関係について(未来編)

サブスクリプションと物流との関係について(未来編)

サブスクリプションと物流との関係について(実践編)

サブスクリプションと物流との関係について(実践編)

サブスクリプションと物流との関係について(概念編)

サブスクリプションと物流との関係について(概念編)

「D2C」で成功する秘訣は?成功事例から検証

「D2C」で成功する秘訣は?成功事例から検証

コロナ禍で再注目!なぜいま「D2C」が必要なのか

コロナ禍で再注目!なぜいま「D2C」が必要なのか

「サブスク」ってどんなビジネス? サブスクリプションを利用する消費者のインサイトから考える

「サブスク」ってどんなビジネス? サブスクリプションを利用する消費者のインサイトから考える

MA活用例あり!顧客体験が求められている時代に効果的なECマーケティング施策

MA活用例あり!顧客体験が求められている時代に効果的なECマーケティング施策

【EC座談会2020】#10 フルフィルメントの重要性 後編

【EC座談会2020】#10 フルフィルメントの重要性 後編

【EC座談会2020】#9 フルフィルメントの重要性 前編

【EC座談会2020】#9 フルフィルメントの重要性 前編

【EC座談会2020】#8 フルファネル戦略 データ活用・CRM施策 後編

【EC座談会2020】#8 フルファネル戦略 データ活用・CRM施策 後編

【EC座談会2020】#7 フルファネル戦略 データ活用・CRM施策 前編

【EC座談会2020】#7 フルファネル戦略 データ活用・CRM施策 前編

【EC座談会2020】#6 フルファネル戦略 新規顧客獲得の為の広告運用の課題と解決策 後編

【EC座談会2020】#6 フルファネル戦略 新規顧客獲得の為の広告運用の課題と解決策 後編

【EC座談会2020】#5 フルファネル戦略 顧客獲得の為の広告運用の課題と解決策 前編

【EC座談会2020】#5 フルファネル戦略 顧客獲得の為の広告運用の課題と解決策 前編

【EC座談会2020】#4 顧客体験の最適化へと導くバックオフィス業務の各機能とデータ連携の重要性

【EC座談会2020】#4 顧客体験の最適化へと導くバックオフィス業務の各機能とデータ連携の重要性

【EC座談会2020】#3 単品通販事業に必要な機能とツール選定方法

【EC座談会2020】#3 単品通販事業に必要な機能とツール選定方法

【EC座談会2020】#2 D2C事業を成功させる、ECシステムの特徴と選定

【EC座談会2020】#2 D2C事業を成功させる、ECシステムの特徴と選定

【EC座談会2020】#1 年商30億まで成長させた経営者のEC事業計画の秘訣

【EC座談会2020】#1 年商30億まで成長させた経営者のEC事業計画の秘訣

【後編】小売業界で勝ち続けるオムニチャネル戦略とは?

【後編】小売業界で勝ち続けるオムニチャネル戦略とは?

【前編】小売業界で勝ち続けるオムニチャネル戦略とは?

【前編】小売業界で勝ち続けるオムニチャネル戦略とは?

【後編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

【後編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

【前編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

【前編】【2019年度版】ECパッケージの魅力と選び方を徹底解説

サブスクリプションコマースでビジネスを成長させる

ECオリジンbyGMO_BtoCECオリジンbyGMO_BtoBECオリジンbyGMO_越境

CLOSE