進化するWebスキミングの脅威と対策
セキュリティを知りたい
「Webスキミング」って、クレジットカードの情報が盗まれる怖いものって聞いたんだけど、具体的にどんなことをされるの?
セキュリティ研究家
Webスキミングは、ネットのお店で買い物をするときに、こっそり情報を盗む悪いやり方だよ。 例えば、お店の人が使う画面からパスワードを盗んだり、お店のホームページに偽物のページを紛れ込ませて、そこでクレジットカードの情報を入力させて盗んだりするんだ。
セキュリティを知りたい
お店になりすまして情報を盗むってことなんだね!でも、お店のホームページが偽物かどうか、どうやって見分ければいいの?
セキュリティ研究家
それは難しい質問だね。見分けるのは簡単ではないけど、お店のホームページのアドレスをよく確認したり、セキュリティソフトを使ったりすることが大切だよ。怪しいと思ったら、そのお店では買い物しないようにしようね!
Webスキミングとは。
インターネット上の買い物サイトでの安全を守るための知識として、「ウェブスキミング」についてお話します。ウェブスキミングとは、ネット上の買い物サイトに悪意のあるプログラムを埋め込み、買い物をした人のクレジットカード情報などを盗み取る攻撃方法です。
元々「スキミング」は、クレジットカードに記録されている磁気情報を盗み読みして、全く同じ情報が書き込まれた偽物のカードを作って不正に使う犯罪のことでした。これが、ウェブサイト上でクレジットカード情報を盗むようになったため「ウェブスキミング」と呼ばれるようになりました。
ウェブスキミングの手口としてよくあるのは、まず、買い物サイトの管理画面などに、あらゆるパスワードを試しに入力するなどして突破を試みたり、システムの弱点を探して侵入できる場所を見つけ出すことから始まります。そして、盗み出した情報を使ってサイトに不正にログインしたり、サイトの内容を書き換えたりして、お金の支払い画面などに情報を盗み取るための悪意のあるプログラムを埋め込みます。これにより、利用者が買い物サイトでクレジットカード情報などを入力すると、攻撃者のサーバーへ情報が送られてしまうという仕組みです。
しかし2019年には、従来のように買い物サイトを直接改ざんして情報を盗み取るプログラムを仕掛けるのではなく、ソフトウェアの供給の流れを悪用し、改ざんしたプログラム部品を配布することで、多数の買い物サイトに間接的に情報を盗み取るプログラムを仕掛けるという、巧妙な手口も見つかりました。
ウェブスキミングの被害を防ぐためには、買い物サイトを提供する側は、システムを常に最新の状態に保ち、セキュリティの弱点をつぶしておく必要があります。さらに、本人確認の仕組みやセキュリティ設定を見直すなどして、サイトを作る段階からセキュリティを考慮した、強固なサイト作りをすることが重要です。
Webスキミングとは
– Webスキミングとは
Webスキミングとは、インターネット上でクレジットカード情報などを盗み取る攻撃手法の一つです。
ECサイトなど、個人情報やクレジットカード情報を取り扱うWebサイトに、攻撃者が不正なプログラムを埋め込みます。利用者がそのWebサイトで買い物をしようとすると、埋め込まれたプログラムが動作し、入力したクレジットカード番号や有効期限、セキュリティコードなどの情報をこっそりと盗み取ります。
まるで、本物のWebサイトに、情報を盗み取るための罠を仕掛けるようなものです。そのため、利用者はWebサイトを閲覧しているだけでは、情報が盗み取られていることに気づくことは非常に困難です。
Webスキミングは、従来のクレジットカードのスキミングと同様に、盗み取った情報を使って偽造カードを作成したり、ネット上で不正に商品を購入したりするために利用されます。
Webスキミングの被害に遭わないためには、怪しいWebサイトにアクセスしない、セキュリティソフトを導入する、最新の状態に保つなど、日頃からセキュリティ対策をしておくことが重要です。
| 項目 | 内容 |
|---|---|
| 定義 | インターネット上でクレジットカード情報などを盗み取る攻撃手法 |
| 攻撃方法 | ECサイトなどに不正なプログラムを埋め込み、利用者が入力した情報を盗み取る |
| 特徴 | 利用者は情報が盗み取られていることに気づきにくい |
| 被害 | 盗み取った情報で偽造カード作成や不正利用が行われる |
| 対策 | – 不審なWebサイトにアクセスしない – セキュリティソフトを導入、最新の状態に保つ – 日頃からセキュリティ対策を行う |
攻撃の手口
– 攻撃の手口
インターネット上で買い物をした際に、クレジットカード情報などの重要な個人情報が盗み取られてしまうウェブスキミング。その巧妙な手口を見ていきましょう。
ウェブスキミングは、まず攻撃者が狙いを定めた通販サイトの運営を裏で管理するための画面、いわばお店の裏口に侵入することから始まります。
攻撃者はあの手この手で裏口への侵入を試みます。例えば、パスワードを何度も入力して正解を当てようとする方法や、システムの弱点を探し出すための特別なプログラムを使う方法などが挙げられます。
そして、見事侵入に成功すると、攻撃者はウェブサイトそのものを改ざんしてしまいます。通販サイトで買い物をするときにクレジットカード情報などを入力する決済画面に、こっそりと不正なプログラムを埋め込むのです。
何も知らない利用者がこの偽物の決済画面でクレジットカード情報などを入力してしまうと、入力された情報は攻撃者が用意したサーバーに送信されてしまいます。こうして、利用者は自分の情報が盗み取られていることに全く気付かないまま、被害に遭ってしまうのです。
| 項目 | 内容 |
|---|---|
| 定義 | インターネット上でクレジットカード情報などを盗み取る攻撃手法 |
| 攻撃方法 | ECサイトなどに不正なプログラムを埋め込み、利用者が入力した情報を盗み取る |
| 特徴 | 利用者は情報が盗み取られていることに気づきにくい |
| 被害 | 盗み取った情報で偽造カード作成や不正利用が行われる |
| 対策 | – 不審なWebサイトにアクセスしない – セキュリティソフトを導入、最新の状態に保つ – 日頃からセキュリティ対策を行う |
巧妙化する攻撃パターン
– 巧妙化する攻撃パターン
インターネット上で商品を売買する場である電子商取引(EC)サイトは、私たちの生活に欠かせないものとなりました。しかし、その利便性と反比例するように、利用者を狙った攻撃も巧妙化しています。
従来は、ECサイトを標的にした攻撃といえば、サイトそのりに不正に侵入し、サイトのデータを書き換えるといった方法が主流でした。しかし、近年では、攻撃の手口はさらに複雑化し、サイトが利用しているソフトウェアの脆弱性を突くケースが増加しています。
多くのECサイトで採用されているプログラムの部品であるJavaScriptライブラリを例に挙げましょう。攻撃者は、このJavaScriptライブラリに不正なプログラムを仕込みます。そして、何も知らないECサイトが、この改ざんされたJavaScriptライブラリを利用することで、利用者の情報が盗み取られたり、サイトが乗っ取られたりする危険性があるのです。
このように、ソフトウェアの供給過程における脆弱性を突く攻撃は、「サプライチェーン攻撃」と呼ばれ、一度の攻撃で多数のECサイトに被害が拡大する可能性を秘めています。これは、多くのECサイトが共通のソフトウェアを使用しているためです。
ECサイトの運営者は、このような巧妙化する攻撃から利用者を守るために、常に最新のセキュリティ対策を講じる必要があります。そして、利用者も、身に覚えのないメールやウェブサイトへのアクセスを避け、パスワードを定期的に変更するなど、セキュリティ意識を高めることが重要です。
| 攻撃の種類 | 概要 | 影響 | 対策 |
|---|---|---|---|
| 従来型の攻撃 | ECサイトに直接不正侵入しデータを改ざん | サイトデータの漏洩、改ざん | – ECサイト運営者によるセキュリティ対策強化 |
| サプライチェーン攻撃(増加傾向) | ECサイトが使用するソフトウェアの脆弱性を悪用 – 例: JavaScriptライブラリへの不正プログラム混入 |
– 利用者情報の窃取 – サイトの乗っ取り – 多数のECサイトへの被害拡大 |
– ECサイト運営者による最新セキュリティ対策 – 利用者によるセキュリティ意識の向上(不審なメールやサイトへのアクセス回避、パスワードの定期的な変更など) |
被害を防ぐためには
– 被害を防ぐためには
インターネット上でクレジットカード情報などの重要情報を盗み取る「ウェブスキミング」の被害を防ぐには、利用者一人ひとりの心がけと、ECサイトを運営する事業者双方による対策が必要です。
利用者の皆さんは、偽のウェブサイトにアクセスしてしまうことによる被害を防ぐために、インターネット通販を利用する際には、ウェブサイトのURLが正しいことを必ず確認しましょう。また、ウイルス対策ソフトなどのセキュリティソフトを導入し、常に最新の状態に保つことも大切です。そして、クレジットカードの利用明細はこまめに確認し、身に覚えのない請求がないかを確認する習慣をつけましょう。
ECサイト運営事業者も、利用者をウェブスキミングの被害から守るために、システムやソフトウェアを常に最新の状態に保ち、セキュリティ上の弱点を作らないようにしなければなりません。そして、不正アクセスを防止するためのセキュリティ対策ソフトを導入し、常に最新の状態で運用していく必要があります。さらに、従業員一人ひとりがセキュリティの重要性を認識し、適切な行動をとれるよう、継続的なセキュリティ教育を実施していくことが重要です。
| 対策を行う主体 | 具体的な対策内容 |
|---|---|
| 利用者 |
|
| ECサイト運営事業者 |
|
セキュリティ対策の重要性
昨今、インターネット上における買い物や手続きは人々の生活に欠かせないものとなっています。しかし、その利便性が高まる一方で、悪意のある攻撃者による情報窃取のリスクも増加しています。特に、ウェブサイト上でクレジットカード情報などを盗み取る「ウェブスキミング」は、手口が巧妙化しており、誰もが被害に遭う可能性があります。
ウェブスキミングは完全に防ぐことが難しい攻撃ではありますが、だからといって対策を諦めるべきではありません。セキュリティ対策をしっかりと行うことで、被害に遭うリスクを大幅に減らすことができます。
例えば、ECサイト運営者は、ウェブサイトにSSL/TLS証明書を導入することで、顧客が入力した情報が暗号化されて送信されるようにする必要があります。また、ファイアウォールや不正アクセス検知システムを導入し、外部からの攻撃を遮断することも重要です。
セキュリティ対策は、単なるコストと捉えるのではなく、顧客の信頼を得るための投資と考えるべきです。顧客に対して、安心して買い物や手続きをしてもらえる環境を提供することは、企業としての責任と言えます。
顧客自身も、セキュリティ意識を高め、自らの情報を守る努力が重要です。パスワードを定期的に変更したり、不審なメールやウェブサイトにアクセスしないなど、基本的なセキュリティ対策を徹底しましょう。
インターネットの安全を守るためには、利用者一人ひとりの意識向上と、企業による積極的なセキュリティ対策が不可欠です。
| 対象 | 対策 |
|---|---|
| ECサイト運営者 |
|
| 顧客 |
|