Web (ウェブ) スキミングとは、Web サイトに不正なスクリプトを埋め込み、ユーザーが入力したクレジットカード情報や個人情報を盗み取るサイバー攻撃です。EC サイトの決済フォームなどが標的となることが多く、ユーザーが気付かないまま入力した情報が盗まれる被害が日本でも多数報告されています。

EC サイトを狙った不正なアクセスや情報漏えいは、事業者にとって重要なセキュリティ課題のひとつとなっており、安全な決済システムの導入は欠かせません。

この記事では、Web スキミングの仕組みや原因、その対策方法や日本の事例についてわかりやすく紹介します。

目次

• ウェブスキミングとは
  
• Web スキミングの仕組み
  
• Web スキミングの原因
  
• Web スキミングの対策方法
  
• Web スキミングの事例
  
• Stripe Radar でできること
  

Web スキミングとは

Web スキミングとは、Web サイトに不正なコードを埋め込むことで、利用者が入力した情報を盗み出すサイバー攻撃です。

不正なコードを埋め込まれても、公式サイトの決済ページや入力フォームの見た目は変わりません。そのため、ユーザーは異変に気が付かず、ユーザーは通常通りクレジットカード情報や個人情報をサイト上で入力してしまいます。しかし、その情報は密かに攻撃者の元へ送信されてしまう危険性があります。

Web スキミングの被害状況

EC サイトへの不正アクセスにより、クレジットカード情報が流出する被害が数多く報告されています。

個人情報保護委員会が令和 4 年 3 月に行った EC サイトへの不正アクセスに関する実態調査 によると、不正アクセスを受けた EC サイトの 93％ でクレジットカード情報の漏えいが発生しており、さらに 77％ の事業者でクレジットカードの不正利用が確認されています。また、不正アクセスの影響で約 8 割の事業者が EC サイトの運営を一時停止しています。

このように、Web スキミングなどの攻撃は顧客情報の漏えいだけでなく、EC サイトの運営停止や企業の信用低下など、事業に大きな影響を及ぼす可能性があります。

スキミングとの違い

Web スキミングと似た概念に「スキミング」があります。スキミングと Web スキミングの主な違いは次のとおりです。

スキミングとは、クレジットカードの磁気情報などを不正に読み取る犯罪行為です。ATM やカードリーダーに装置を取り付けてカード情報を盗む手口が知られています。

一方、Web スキミングはインターネット上で行われる攻撃であり、Web サイトに不正なスクリプトを埋め込むことでユーザーの入力情報を取得します。

Web スキミングの仕組み

Web スキミングでは、Web サイトに埋め込まれた不正なスクリプトによって、ユーザーが入力した情報が外部へ送信されます。攻撃者は様々な方法でサイトや外部サービスを改ざんし、入力情報を取得できる状態を作ります。

一般的な Web スキミングの流れは次のとおりです。

• 攻撃者が Web サイトや外部サービスを改ざんし、不正なスクリプトを埋め込む
  
• ユーザーが決済フォームなどにクレジットカードや個人情報を入力する
  
• スクリプトが入力された情報を取得する
  
• 取得された情報が攻撃者のサーバーへ送信される
  

スクリプトがサイトに埋め込まれても、画面の見た目に変化はないため、利用者は通常どおり Web サイトを利用しているつもりでクレジットカード情報や個人情報を入力します。

このように Web スキミングの手口は非常に巧妙で、利用者だけでなく事業者も気が付かないまま長い月日が経ってしまう被害も数多くみられます。事業者は、Web スキミングの対象となり得る原因を排除し、対策をしっかりと立てていくことが求められます。

Web スキミングの原因

Web スキミングは、Web サイトの脆弱性や外部サービスの改ざん、EC サイトのセキュリティ対策不足といった弱点を攻撃者に悪用されることで発生します。

Web サイトの脆弱性

Web スキミングの発生要因のひとつに、Web サイトの脆弱性が挙げられます。CMS (コンテンツ管理システム) や EC サイト構築システムにセキュリティ上の弱点があると、攻撃者によってサイトが改ざんされる危険性が高まります。

たとえば、SQL インジェクション (Web サイトのデータベースに不正なコマンドを送る攻撃) のようなサイバー攻撃により、不正なスクリプトが Web サイトに埋め込まれることがあります。

また、ソフトウェアの更新が行われていない場合や、古いバージョンのプラグインを使用している場合も、攻撃の対象になりやすくなります。

外部サービスや外部スクリプトの改ざん

外部サービスのスクリプトが改ざんされると、サイト自体が改ざんされていなくても、Web スキミングの被害が発生することがあります。

EC サイトでは、解析ツール、チャット機能、決済サービスなどの多様な外部スクリプトが利用されていますが、こうした外部スクリプトが改ざんされると、ユーザーが入力した情報が攻撃者に送信されるおそれがあります。

この種の攻撃は、同一の外部サービスを利用している多数のサイトにも影響を及ぼす可能性があります。

セキュリティ対策の不足

セキュリティ対策や管理体制が十分でない場合、不正アクセスや改ざんが発生するリスクが高まります。

たとえば、管理画面へのアクセス制限が不十分であったり、パスワード管理が適切に行われていなかったりすると、不正アクセスの原因になります。

また、セキュリティ監視や脆弱性のチェックが十分に行われていない場合、不正なスクリプトが埋め込まれても発見が遅れることがあります。

Web スキミングの対策方法

Web スキミングを防ぐためには、Web サイトの脆弱性対策や外部スクリプトの管理、セキュリティ監視などを適切に行うことが重要です。また、万が一カード情報が盗まれた場合に備え、不正決済を防ぐ仕組みを導入しておくことも効果的です。

Web スキミングは、Web サイトの脆弱性や管理体制の不備を狙って行われる攻撃です。ソフトウェアの更新や外部スクリプトの管理、セキュリティ監視などを継続的に行うことで、被害の発生や拡大を防ぐことにつながります。

たとえば、3D セキュア 2.0 を導入することで、Web スキミングなどで盗まれたクレジットカードが不正に利用されるリスクを抑えることができます。

Web スキミングの事例

Web スキミングは日本の EC サイトでも実際に被害が報告されています。

2023 年には、日本国内のある音楽グループの公式オンラインショップのサーバーにカード情報を盗み取る不正プログラムを組み込み、クレジットカード情報を不正に入手したとして容疑者が逮捕される事件がありました。報道によると、容疑者は約 500 件のカード情報を入手した疑いがあるとされています。

この事例からわかるように、Web スキミングは正規の EC サイトが改ざんされることで発生するため、利用者が攻撃に気づきにくいということです。そのため、EC サイトの運営者はソフトウェアの更新や外部スクリプトの管理、サイトの監視などのセキュリティ対策を継続的に行うことが求められます。

Stripe Radar でできること

Stripe Radar は不正利用対策のためのツールです。Stripe のグローバルネットワークから得たデータを活用して訓練された AI モデルを使い、不正利用を検知・防止します。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。

Stripe はこのほか、Radar for Fraud Teamsも提供しています。ユーザーは自社ビジネス特有の不正シナリオに対応するカスタムルールを追加でき、高度な不正分析情報にアクセスできます。

Radar は、以下の場面でお客様を対応します

• 不正利用による損失防止: Stripe は年間 1 兆ドル以上の決済額を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、お客様の損失を防ぎます。

• 収益の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどに基づいて訓練されています。そのため Radar は、リスクの高い取引を特定し、誤検知を減らし、収益を増加させることに貢献します。

• 時間の節約: Radar は Stripe に組み込まれており、設定にコードは一切必要ありません。また、単一のプラットフォームで不正利用の動きをモニターしたり、ルールを作成することができるため、業務効率も向上します。

Stripe Radar について詳しくはこちらをご覧ください。あるいは、今すぐ始める場合はこちら。