ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

ウェブスキミングとは?本物のサイトで個人情報が盗まれる!

ウェブスキミング webskimming e-skimming formjacking

ウェブスキミングという攻撃をご存じでしょうか。

個人情報を盗み取る攻撃の一種なのですが、このウェブスキミングでは、利用者側の端末が直接攻撃される事なく、個人情報が盗まれてしまうのです。

それも、正規のECサイトで買い物などをしていると、勝手に、です。

ちょっと怖いですよね。

そこで、今日は、このウェブスキミングについてご紹介させて頂きます。


ウェブスキミング(web skimming)という用語は、「ウェブ(web)」という用語と「スキミング(skimming)」という用語を組み合わせて生まれました。

ですから、ウェブスキミングという用語の意味も、この2つの用語を組み合わせたものになります。

ウェブについては説明不要と思いますが、スキミングについては、ご存じない方もいらっしゃるかもしれません。

スキミングは、手元の(または近くにある)クレジットカードの情報を機械で盗み取り、そのクレジットカードの情報を攻撃者が利用する(多くのケースでは、盗んだクレジットカード情報を使って買い物をする)という攻撃(犯罪)です。

ウェブスキミングは、このスキミング攻撃のウェブ版なのです。

具体的には、ウェブスキミングでは、利用者がアクセスするECサイト(買い物をするサイト)に、攻撃者によって特殊な仕組みが仕掛けられます。

もちろん、その仕組みは不正なもので、ECサイトの運営側は承知していません(万一、承知していたとすれば、共犯です)。

そして、ECサイトの利用者が普通に買い物などを行う際にクレジットカード情報をECサイト側に送信すると、その情報が盗み取られてしまうのです。

その後は、通常のスキミング攻撃と同じです。


攻撃者は、従来のスキミングでは、物理的なクレジットカードの情報を特殊な機械を用いて盗んでいましたが、ウェブスキミングでは、ECサイトに送信されるクレジットカード情報を、ECサイトに仕掛けた特殊な仕組みで盗むのです。

このウェブスキミングによる被害は既に20万件を超えている、とも報道されています。

※ウェブスキミングは、Eスキミング(e-skimming)、フォームジャッキング(formjacking)とも呼ばれています。


では、このウェブスキミングは、何が怖いのか。

このウェブスキミングで利用者がアクセスしているのは、正規のサイトです。

そして、利用者側の端末は攻撃を受けていません。正常なままです。

それにも関わらず、情報は盗まれてしまうのです。

ですから、利用者側としては、どれだけ慎重に行動していたとしても、情報が盗まれるのを防ぐ事が困難なのです(不可能に近い)。

自分が利用しているECサイトにおいて、裏側でどんなプログラムが動いているか、などという事は、通常、利用者はチェックしませんし、そもそも、そのような事をチェックする術はありませんからね。

この為、他の攻撃への備えを検討する時のように、「アクセスしているサイトが正規なものかどうか注意しましょう」「端末のセキュリティを高めておきましょう」などといった対策が全く役に立たないのです。


では、このウェブスキミングに対しては、どのような対策が可能なのでしょうか。

繰り返しとなりますが、ウェブスキミングは、ECサイト側に不正な仕組みが仕掛けられる事によって行われます。

ですから、ウェブスキミングを防ぐ直接的な対策は、ECサイトを運営している事業者側が行うべきなのです。

ECサイトを運営している企業が「攻撃されないようにウェブサイトのセキュリティを高める」や「怪しい仕組みが仕掛けられていないか定期的にチェックする」といった対策を行う事が、このウェブスキミングによる被害を防ぐ為の有効な対策となります。

※正確には、ECサイトが変更されていないかどうかを利用者側でチェックできる場合もあります。しかし、多くの利用者にとって、そのような対策は現実的にはないでしょうし、また、完全にチェックする事は不可能です。

※厳密には、ECサイトではなく、そのECサイトが利用している外部サービス側に問題のあるケースもあります(サードパーティスクリプトの改変)。ただ、利用者にしてみれば、両者に違いはありませんので、本稿では分けずに扱います。


では、利用者側としては、何も対策は出来ないのでしょうか。

消極的な対策とはなりますが、出来る対策はあります。

まず、「不正な仕組みが仕掛けられないような対策がしっかりとしているECサイトだけを使う(セキュリティが低そうなECサイトは利用しない)」という対策。

ECサイト側の対策がしっかりしていれば、そのECサイトにウェブスキミングに使われる仕組みが仕掛けられる事はありませんからね。

また、情報が盗まれたとしても、実被害が発生しないようにする為の対策もあります。

盗まれてて悪用される情報の代表格はクレジットカード情報なのですが、幸い、通常のクレジットカードには、不正利用の保障があります。

この為、万一、クレジットカード情報が盗まれたとしても、正しく対応すれば、不正利用額を負担する必要はありません。

ただし、通常、この不正利用の保障には条件があり、不正利用から一定期間内にカード会社に申請する必要があります(その他の条件がある場合もあります)。

ですから、貴方がどれだけセキュリティに気を配っていたとしても、「自分はウェブスキミングの被害に合うかもしれない」と考え、クレジットカードの利用履歴をしっかりと確認する事が、対策となるのです。

もちろん、万一、不正利用があった場合には、すぐにクレジットカード会社に連絡するようにして下さい。

なお、クレジットカードによっては、利用があった都度、アプリやメールで通知を行ってくれるサービスがある場合もありますので、そのようなサービスの利用を検討されるのも良いでしょう。

また、「利用する時だけ、クレジットカードが利用できるようにする(その他の時は利用ロックをかける)」といった機能のあるクレジットカードもありますので、あまりクレジットカードを利用しない方の場合には、そのような機能の利用を検討されても良いかもしれません。

これらが、ウェブスキミングの被害を防ぐ為に有効な対策となります。


以上、利用者側では防ぐ事が難しいウェブスキミングの仕組みと対策について解説させて頂きました。